Il gruppo hacker noto come Transparent Tribe è stato associato a un nuovo set di attacchi che prendono di mira enti governativi, accademici e strategici indiani con un trojan di accesso remoto (RAT) che concede loro il controllo persistente sugli host compromessi. Il gruppo di hacking, noto anche come APT36, è noto per aver condotto campagne di spionaggio informatico contro organizzazioni indiane.
Metodi di attacco
La campagna utilizza tecniche ingannevoli, tra cui un file di collegamento Windows (LNK) che maschera un documento PDF legittimo e incorpora il contenuto completo del PDF per evitare sospetti dell’utente. Il file LNK, una volta aperto, attiva l’esecuzione di uno script HTML Application (HTA) remoto utilizzando mshta.exe, che decifra e carica il payload finale del RAT direttamente nella memoria. Nel frattempo, l’HTA scarica e apre un documento PDF diversivo per non destare sospetti negli utenti.
Funzionalità del malware
Il malware è in grado di adattare il suo metodo in base alle soluzioni antivirus installate sulla macchina infetta. Se viene rilevato Kaspersky, crea una directory di lavoro sotto C:\Users\Public\core\, scrive un payload HTA oscurato su disco depositando un file LNK nella cartella di avvio di Windows che, a sua volta, avvia lo script HTA utilizzando mshta.exe. Se viene rilevato Quick Heal, stabilisce la persistenza creando un file batch e un file LNK maligno nella cartella di avvio di Windows, scrivendo il payload HTA su disco e poi chiamandolo utilizzando lo script batch.
