Transparent Tribe APT

[post-views]
août 26, 2020 · 2 min de lecture
Transparent Tribe APT

Transparent Tribe (alias PROJECTM et MYTHIC LEOPARD) est une unité de cyber-espionnage liée au gouvernement pakistanais et active depuis au moins 2013. Le groupe a été très actif ces quatre dernières années, ciblant principalement le personnel militaire et gouvernemental indien, mais au cours de l’année dernière, ils ont attaqué de plus en plus de cibles en Afghanistan et leurs activités malveillantes ont été détectées dans environ 30 pays.

Transparent Tribe utilise des chevaux de Troie d’accès à distance personnalisés basés sur .NET et Python et développe de nouveaux utilitaires pour des campagnes spécifiques. Typiquement, les attaquants envoient des e-mails de spear-phishing contenant des documents MS Office avec une macro malveillante intégrée qui installe la charge principale. La charge finale est souvent le Crimson RAT, mais dans certains cas, les chercheurs ont trouvé le malware Peppy, un Trojan basé sur Python. Parmi les utilitaires inhabituels du groupe, un nouvel outil d’attaque USB baptisé USBWorm mérite d’être mentionné. Il s’agit d’un voleur de fichiers pour les disques amovibles et d’un module de ver pour infecter les systèmes vulnérables. Nouvelle règle exclusive soumise par Ariel Millahuel aide les solutions de sécurité à découvrir les campagnes malveillantes de Transparent Tribe APT : https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution

Techniques : Interface en ligne de commande (T1059)


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko