APT de la Tribu Transparente

Transparent Tribe (también conocido como PROJECTM y MYTHIC LEOPARD) es una unidad de ciberespionaje vinculada al gobierno pakistaní y ha estado activa desde al menos 2013. El grupo ha estado bastante activo en los últimos cuatro años, atacando principalmente al personal militar y gubernamental indio, pero durante el último año, atacaron más y más objetivos en Afganistán y sus actividades maliciosas fueron detectadas en unos 30 países.

Transparent Tribe utiliza troyanos de acceso remoto personalizados basados en .NET y Python y desarrolla nuevas utilidades para campañas específicas. Normalmente, los atacantes envían correos electrónicos de spear-phishing que contienen documentos de MS Office con un macro malicioso incrustado que instala la carga útil principal. La carga útil final suele ser el Crimson RAT, pero en algunos casos, los investigadores encontraron el malware Peppy, un troyano basado en Python. De las utilidades inusuales del grupo, una nueva herramienta de ataque USB denominada USBWorm es digna de mención. Consiste en un robador de archivos para unidades extraíbles y un módulo de gusano para infectar sistemas vulnerables. Nueva regla exclusiva enviada por Ariel Millahuel ayuda a las soluciones de seguridad a descubrir campañas maliciosas del APT Transparent Tribe: https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.