APT Tribù Trasparente

[post-views]
Agosto 26, 2020 · 2 min di lettura
APT Tribù Trasparente

Transparent Tribe (alias PROJECTM e MYTHIC LEOPARD) è un’unità di cyber spionaggio collegata al governo pakistano ed è attiva almeno dal 2013. Il gruppo è stato piuttosto attivo negli ultimi quattro anni indirizzando soprattutto il personale militare e governativo indiano, ma durante l’ultimo anno hanno attaccato sempre più obiettivi in Afghanistan e le loro attività malevole sono state rilevate in circa 30 paesi.

Transparent Tribe utilizza Trojan di Accesso Remoto personalizzati basati su .NET e Python e sviluppa nuove utilità per campagne specifiche. Tipicamente, gli attaccanti inviano email di spear-phishing contenenti documenti MS Office con una macro malevola incorporata che installa il payload principale. Il payload finale è spesso il Crimson RAT, ma in alcuni casi, i ricercatori hanno trovato il malware Peppy, un Trojan basato su Python. Tra le utilità insolite del gruppo, un nuovo strumento di attacco USB denominato USBWorm è degno di nota. Consiste in un file stealer per unità rimovibili e un modulo worm per infettare sistemi vulnerabili. Nuova regola esclusiva inviata da Ariel Millahuel aiuta le soluzioni di sicurezza a scoprire campagne malevole di Transparent Tribe APT: https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Interfaccia a Riga di Comando (T1059)


Pronto a provare SOC Prime TDM? Iscriviti gratis. Oppure entra nel Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati

Tattica di Esecuzione | TA0002
Blog, Ultime Minacce — 7 min di lettura
Tattica di Esecuzione | TA0002
Daryna Olyniychuk
PyVil RAT del Gruppo Evilnum
Blog, Ultime Minacce — 2 min di lettura
PyVil RAT del Gruppo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Ultime Minacce — 2 min di lettura
JSOutProx RAT
Eugene Tkachenko