SentinelLabs hat eine kürzlich bekannt gewordene Gruppe bösartiger Office-Dokumente untersucht, die „Crimson RAT“ verbreiten, eine von der APT36-Gruppe verwendete Malware. APT36, auch genannt „Transparent Tribe“, hat seinen Sitz mutmaßlich in Pakistan und ist mindestens seit 2013 aktiv. Die Gruppe ist in ihrem Vorgehen sehr hartnäckig und passt ihre operative Strategie kontinuierlich an.
Sie konzentrierte sich bisher vor allem auf indisches Militär- und Regierungspersonal, hat aber in jüngster Zeit ihren Aktionsradius auf Bildungseinrichtungen und Studenten auf dem indischen Subkontinent erweitert. Crimson RAT ist eine feste Größe im Malware-Arsenal der Gruppe, die bei den zahlreichen Kampagnen eingesetzt wird.
Die Namen und Inhalte der Köderdokumente, die zugehörigen Domänen und die Verwendung von Crimson RAT deuten darauf hin, dass diese Aktivitäten Teil eines umfassenderen Angriffs auf den Bildungssektor durch Transparent Tribe sind. Es ist interessant zu beobachten, dass es bereits im letzten Jahr Analysen dieser Cyberspionage-Gruppe gab, die das Mitwirken von Dritten aufzeigen, wie z.B. dem pakistanischen Webhosting-Anbieter Zain Hosting.
Dies unterstreicht die Annahme, dass die detaillierte Überwachung der Forschungsbemühungen von verfeindeten Nationen zu einem wichtigen Ziel geworden ist, wobei in diesem Fall Transparent Tribe eine entscheidende Rolle bei der Erfüllung der Ziele und Bestrebungen einnimmt.
Struktur der Angriffsmethoden
Die von Transparent Tribe verbreiteten Dokumente haben einen bildungsbezogenen Inhalt und Namen wie „Assignment“ oder „Assignment-no-10“ und geben als Erstellungsdatum Juli und August 2022 an. Aufgrund des bekannten Verhaltens dieser Gruppe wird vermutet, dass die Dokumente als Anhänge zu Phishing-E-Mails an die Zielpersonen verteilt wurden.
In Übereinstimmung mit bekannten Transparent Tribe-Taktiken konnte beobachtet werden, dass einige der Dokumente auf File-Hosting-Diensten und von Angreifern erstellten Domains gehostet wurden, wie 's1.fileditch[.]ch, cloud-drive[.]store und drive-phone[.]online.
Es ist wichtig anzumerken, dass cloud-drive[.]store und drive-phone[.]online bereits früher mit Transparent Tribe-Aktivitäten in Verbindung gebracht wurden, die auf den Bildungssektor abzielten, vermutet wurde, dass sie in Zukunft genutzt werden würden. Darüber hinaus ähnelt drive-phone[.]online der Domain phone-drive[.]online, die kürzlich als Host für Transparent Tribe-Malware für indische und pakistanische Android-Nutzer beobachtet wurde.
Verbreitung der Malware
Es ist bekannt, dass Transparent Tribe mit verschiedenen Techniken zur Verbreitung von Malware experimentiert. Dazu gehört die Verteilung von ausführbaren Dateien mit eingebetteten Dokumenten oder Dokumenten, die als Crimson RAT-Lader ausgeführt werden. Die Verwendung der OLE-Einbettung unterstreicht das kontinuierliche Experimentieren der Gruppe mit Malware-Staging-Techniken.
Es wurde eine Vielzahl von Crimson RAT .NET-Implementierungen beobachtet, deren Kompilierungszeitpunkte zwischen Juli und September 2022 liegen. Zu den Funktionen von Crimson RAT gehören das Exfiltrieren von Systeminformationen, das Erstellen von Screenshots, das Starten und Stoppen von Prozessen sowie das Auflisten von Dateien und Laufwerken.
Fazit
Transparent Tribe ist ein hoch motivierter und hartnäckiger Bedrohungsakteur, der sein Malware-Arsenal, sein operatives Programm und seine Ziele regelmäßig aktualisiert. Die Analyse zeigt diese Eigenschaft der Gruppe weiter auf, indem sie die Einführung von OLE Embedding als Technik zur Bereitstellung von Malware aus Köderdokumenten und den Eazfuscator Obfuscator zum Schutz von Crimson RAT-Implementierungen hervorhebt. Die sich ständig ändernden operativen und zielgerichteten Strategien von Transparent Tribe erfordern ständige Wachsamkeit, um die von der Gruppe ausgehende Bedrohung zu entschärfen.