트랜스페어런트 트라이브 APT

Transparent Tribe(일명 PROJECTM 및 MYTHIC LEOPARD)는 파키스탄 정부와 연결된 사이버 첩보 단위로서 최소 2013년부터 활동을 이어왔습니다. 이 그룹은 최근 4년 동안 주로 인도 군사 및 정부 관계자를 타겟으로 상당히 활발히 활동했지만, 지난 한 해 동안 아프가니스탄의 더 많은 타겟을 공격했으며 그들의 악성 활동은 약 30개국에서 감지되었습니다.

Transparent Tribe는 .NET 및 Python 기반의 맞춤형 원격 접근 트로이목마를 사용하며 특정 캠페인을 위한 새로운 유틸리티를 개발합니다. 일반적으로 공격자는 주요 페이로드를 설치하는 악성 매크로가 포함된 MS 오피스 문서를 담은 스피어 피싱 이메일을 전송합니다. 최종 페이로드는 종종 Crimson RAT이지만, 일부 경우 연구자들은 Python 기반 트로이목마인 Peppy 악성 소프트웨어를 발견했습니다. 그룹의 독특한 유틸리티 중, USBWorm라는 새로운 USB 공격 도구는 주목할 만합니다. 이는 이동식 드라이브의 파일 탈취자와 취약 시스템을 감염시키는 웜 모듈로 구성되어 있습니다. 새로운 독점 규칙은 Ariel Millahuel 에 의해 제출된 것으로, Transparent Tribe APT의 악성 캠페인을 밝혀내도록 보안 솔루션을 돕습니다: https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1

해당 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행

기법: 명령줄 인터페이스 (T1059)

SOC Prime TDM을 시도해보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.