Transparent Tribe (também conhecido como PROJECTM e MYTHIC LEOPARD) é uma unidade de ciberespionagem vinculada ao governo paquistanês e está ativa desde pelo menos 2013. O grupo tem estado bastante ativo nos últimos quatro anos, visando principalmente militares e funcionários do governo indianos, mas no último ano, eles atacaram cada vez mais alvos no Afeganistão e suas atividades maliciosas foram detectadas em cerca de 30 países.
Transparent Tribe usa Trojans de Acesso Remoto personalizados baseados em .NET e Python e desenvolve novas utilidades para campanhas específicas. Tipicamente, os atacantes enviam e-mails de spear-phishing contendo documentos do MS Office com um macro malicioso embutido que instala a carga útil principal. A carga útil final é frequentemente o Crimson RAT, mas em alguns casos, os pesquisadores encontraram o malware Peppy, um Trojan baseado em Python. Das utilidades incomuns do grupo, uma nova ferramenta de ataque USB chamada USBWorm merece destaque. Consiste em um ladrão de arquivos para drives removíveis e um módulo de worm para infectar sistemas vulneráveis. Nova regra exclusiva submetida por Ariel Millahuel ajuda soluções de segurança a revelar campanhas maliciosas do Transparent Tribe APT: https://tdm.socprime.com/tdm/info/w9JtZ2pcImQs/BDAtJXQBQAH5UgbBZk1v/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução
Técnicas: Interface de Linha de Comando (T1059)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
