Entidades destacadas de la India se han convertido en blanco de campañas maliciosas orquestadas por el actor de amenazas Transparent Tribe, con sede en Pakistán, y un grupo de ciberespionaje previamente desconocido vinculado a China llamado IcePeony.
Las intrusiones relacionadas con la Tribu Transparente implican el uso de malware llamado ElizaRAT y una nueva carga útil de ladrón llamada ApoloStealer en víctimas específicas, dijo Check Point en un artículo técnico publicado esta semana.
“Las muestras de ElizaRAT indican un abuso sistemático de los servicios basados en la nube, incluidos Telegram, Google Drive y Slack, para facilitar las comunicaciones de comando y control”, dijo la compañía israelí. dicho.
ElizaRAT es una herramienta de acceso remoto (RAT) de Windows que Transparent Tribe observó por primera vez en julio de 2023 en ciberataques dirigidos a sectores gubernamentales indios. Activo desde al menos 2013, el adversario también es rastreado bajo los nombres APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major y PROJECTM.
Su arsenal de malware incluye herramientas para comprometer dispositivos Windows, Android y Linux. El aumento de ataques a máquinas Linux se debe al uso por parte del gobierno indio de una bifurcación personalizada de Ubuntu llamada sistema operativo maya desde el año pasado.
Las cadenas de infección son iniciadas por archivos del panel de control (CPL) probablemente distribuidos mediante técnicas de phishing. Se observaron hasta tres campañas independientes que utilizaban RAT entre diciembre de 2023 y agosto de 2024, cada una de las cuales utilizaba Slack, Google Drive y un servidor privado virtual (VPS) para comando y control (C2).
Mientras que ElizaRAT permite a los atacantes ejercer control total sobre el punto final objetivo, ApoloStealer está diseñado para recopilar archivos que coincidan con múltiples extensiones (por ejemplo, DOC, XLS, PPT, TXT, RTF, ZIP, RAR, JPG y PNG) del host comprometido y exfiltrarlos a un servidor remoto.
En enero de 2024, el actor de amenazas supuestamente cambió el modus operandi para incluir un componente cuentagotas que garantiza que ElizaRAT funcione correctamente. En ataques recientes también se ha observado un módulo ladrón adicional, llamado ConnectX, diseñado para buscar archivos desde unidades externas, como unidades USB.
El abuso de servicios legítimos ampliamente utilizados en entornos empresariales aumenta la amenaza porque complica los esfuerzos de detección y permite que actores maliciosos se mezclen con actividades legítimas en el sistema.
“El progreso de ElizaRAT refleja los esfuerzos deliberados de APT36 para mejorar su malware para evadir mejor la detección y apuntar eficazmente a entidades indias”, dijo Check Point. “La introducción de nuevas cargas útiles como ApoloStealer marca una expansión significativa del arsenal de malware de APT36 y sugiere que el grupo está adoptando un enfoque más flexible y modular para la implementación de cargas útiles”.
IcePeony se enfrenta a India, Mauricio y Vietnam
Esta divulgación se produce semanas después de que el equipo de investigación de nao_sec revelara que un grupo de amenaza persistente avanzada (APT) al que llama IcePeony estaba apuntando a agencias gubernamentales, instituciones académicas y organizaciones políticas en países como India, Mauricio y Vietnam desde al menos 2023.
“Sus ataques suelen comenzar con una inyección de SQL, seguida de un compromiso a través de shells web y puertas traseras”, dijeron los investigadores de seguridad Rintaro Koike y Shota Nakajima. “En última instancia, su objetivo es robar credenciales”.
Una de las herramientas más destacadas de su cartera de malware es IceCache, diseñada para atacar instancias de Microsoft Internet Information Services (IIS). Un binario ELF escrito en el lenguaje de programación Go es un versión personalizada del reGeorg Shell web con funcionalidad adicional de transmisión de archivos y ejecución de comandos.
Los ataques también se caracterizan por el uso de una puerta trasera de modo pasivo única llamada IceEvent, que tiene capacidades para cargar/descargar archivos y ejecutar comandos.
“Parece que los atacantes trabajan seis días a la semana”, afirman los investigadores. nota. “Aunque son menos activos los viernes y sábados, su único día libre completo parece ser el domingo. Esta investigación sugiere que los atacantes no llevan a cabo estos ataques como parte de actividades personales, sino como parte de “operaciones organizadas y profesionales”. “