Transparent Tribe (alias PROJECTM e MYTHIC LEOPARD) è un’unità di cyber spionaggio collegata al governo pakistano ed è attiva almeno dal 2013. Il gruppo è stato piuttosto attivo negli ultimi quattro anni indirizzando soprattutto il personale militare e governativo indiano, ma durante l’ultimo anno hanno attaccato sempre più obiettivi in Afghanistan e le loro attività malevole sono state rilevate in circa 30 paesi.
Transparent Tribe utilizza Trojan di Accesso Remoto personalizzati basati su .NET e Python e sviluppa nuove utilità per campagne specifiche. Tipicamente, gli attaccanti inviano email di spear-phishing contenenti documenti MS Office con una macro malevola incorporata che installa il payload principale. Il payload finale è spesso il Crimson RAT, ma in alcuni casi, i ricercatori hanno trovato il malware Peppy, un Trojan basato su Python. Tra le utilità insolite del gruppo, un nuovo strumento di attacco USB denominato USBWorm è degno di nota. Consiste in un file stealer per unità rimovibili e un modulo worm per infettare sistemi vulnerabili. Nuova regola esclusiva inviata da Ariel Millahuel aiuta le soluzioni di sicurezza a scoprire campagne malevole di Transparent Tribe APT: https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione
Tecniche: Interfaccia a Riga di Comando (T1059)
Pronto a provare SOC Prime TDM? Iscriviti gratis. Oppure entra nel Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.
