Transparent Tribe (auch bekannt als PROJECTM und MYTHIC LEOPARD) ist eine Cyber-Spy-Einheit, die mit der pakistanischen Regierung in Verbindung steht und seit mindestens 2013 aktiv ist. Die Gruppe war in den letzten vier Jahren sehr aktiv, wobei sie hauptsächlich indische Militär- und Regierungsmitarbeiter ins Visier nahm. Doch im letzten Jahr griffen sie vermehrt Ziele in Afghanistan an und ihre bösartigen Aktivitäten wurden in etwa 30 Ländern festgestellt.
Transparent Tribe verwendet benutzerdefinierte Remote-Access-Trojaner auf Basis von .NET und Python und entwickelt neue Hilfsprogramme für spezielle Kampagnen. Typischerweise senden die Angreifer Spear-Phishing-E-Mails, die MS Office-Dokumente mit einem eingebetteten bösartigen Makro enthalten, das die primäre Nutzlast installiert. Die endgültige Nutzlast ist oft der Crimson RAT, aber in einigen Fällen entdeckten Forscher Peppy-Malware, einen Python-basierten Trojaner. Von den ungewöhnlichen Hilfsprogrammen der Gruppe ist ein neues USB-Angriffswerkzeug namens USBWorm bemerkenswert. Es besteht aus einem Dateidieb für Wechseldatenträger und einem Wurm-Modul, um anfällige Systeme zu infizieren. Neue exklusive Regel eingereicht von Ariel Millahuel hilft Sicherheitslösungen, bösartige Kampagnen der Transparent Tribe APT aufzudecken: https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1
Die Regel hat Übersetzungen für folgende Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Ausführung
Techniken: Kommandozeilenschnittstelle (T1059)
Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.
