トランスペアレントトライブAPT

Transparent Tribe（別名：PROJECTMおよびMYTHIC LEOPARD）は、パキスタン政府に関連付けられたサイバー諜報ユニットであり、少なくとも2013年から活動しています。このグループは過去4年間でかなり活発にインドの軍事および政府の職員を主なターゲットとしていましたが、昨年にはアフガニスタンのターゲットに対しても攻撃を増やし、彼らの悪意ある活動は約30カ国で検出されました。

Transparent Tribeは.NETおよびPythonベースのカスタムリモートアクセス型トロイの木馬を使用し、特定のキャンペーン向けに新しいユーティリティを開発しています。通常、攻撃者はMS Office文書に埋め込まれた悪意あるマクロを含むスピアフィッシングメールを送信し、主要なペイロードをインストールします。最終的なペイロードはしばしばCrimson RATですが、場合によっては研究者がPeppyマルウェアというPythonベースのトロイの木馬を発見しました。グループの珍しいユーティリティの中で新しいUSB攻撃ツールであるUSBWormは注目に値します。これはリムーバブルドライブ用のファイル盗難ツールと脆弱なシステムを感染させるワームモジュールで構成されています。新しく独占的なルールは アリエル・ミラウェル によってTransparent Tribe APTの悪意あるキャンペーンをセキュリティソリューションが見つけ出すのを助けます： https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1

このルールは以下のプラットフォームで翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行

技術: コマンドラインインターフェース (T1059)

SOC Prime TDMを試してみますか？ 無料でサインアップ。または 脅威バウンティプログラムに参加して あなた自身のコンテンツを作成し、それをTDMコミュニティと共有しましょう。