Kelompok ancaman persisten tingkat lanjut (APT) yang dikenal sebagai Suku Transparan telah dikaitkan dengan kampanye phishing baru yang sedang berlangsung yang menargetkan siswa di berbagai lembaga pendidikan di India setidaknya sejak Desember 2021.
“Kampanye baru ini juga menunjukkan bahwa APT secara aktif memperluas jaringan korbannya untuk memasukkan pengguna sipil,” kata Cisco Talos dalam sebuah laporan yang dibagikan kepada The Hacker News.
Juga dilacak di bawah moniker APT36, Operation C-Major, PROJECTM, Mythic Leopard, aktor Transparent Tribe diduga berasal dari Pakistan dan diketahui menyerang entitas pemerintah dan think tank di India dan Afghanistan dengan malware khusus seperti CrimsonRAT, ObliqueRAT , dan CapraRAT.
Tetapi penargetan lembaga pendidikan dan siswa, yang pertama kali diamati oleh K7 Labs yang berbasis di India pada Mei 2022, menunjukkan penyimpangan dari fokus khas musuh.
“Penargetan terbaru dari sektor pendidikan mungkin sejalan dengan tujuan strategis spionase negara-bangsa,” kata peneliti Cisco Talos kepada The Hacker News. “APT akan sering menargetkan individu di universitas dan organisasi penelitian teknis untuk membangun akses jangka panjang untuk menyedot data yang terkait dengan proyek penelitian yang sedang berlangsung.”
Rantai serangan yang didokumentasikan oleh perusahaan keamanan siber melibatkan pengiriman maldoc ke target baik sebagai lampiran atau tautan ke lokasi terpencil melalui email spear-phishing, yang pada akhirnya mengarah pada penyebaran CrimsonRAT.
“APT ini melakukan upaya substansial terhadap rekayasa sosial korban mereka untuk menginfeksi diri mereka sendiri,” kata para peneliti. “Umpan email Transparent Tribes mencoba untuk tampil selegitim mungkin dengan konten terkait untuk meyakinkan target agar membuka maldocs atau mengunjungi tautan berbahaya yang disediakan.”
CrimsonRAT, juga dikenal sebagai SEEDOOR dan Scarimson, berfungsi sebagai pilihan utama bagi pelaku ancaman untuk membangun akses jangka panjang ke jaringan korban serta mengekstrak data yang diinginkan ke server jarak jauh.
Berkat arsitektur modularnya, malware memungkinkan penyerang untuk mengontrol mesin yang terinfeksi dari jarak jauh, mencuri kredensial browser, merekam penekanan tombol, menangkap tangkapan layar, dan menjalankan perintah sewenang-wenang.
Terlebih lagi, sejumlah dokumen umpan ini dikatakan di-host di domain bertema pendidikan (misalnya, “studentsportal[.]co”) yang terdaftar pada awal Juni 2021, dengan infrastruktur yang dioperasikan oleh penyedia layanan hosting web Pakistan bernama Zain Hosting.
“Seluruh ruang lingkup peran Zain Hosting dalam organisasi Suku Transparan masih belum diketahui,” catat para peneliti. “Ini kemungkinan salah satu dari banyak pihak ketiga yang dipekerjakan oleh Transparent Tribe untuk mempersiapkan, menggelar, dan/atau menyebarkan komponen operasi mereka.”