El grupo APT &#39Tribu transparente&#39 implementa un nuevo …



El grupo, que existe desde al menos 2013, ha impactado a miles de organizaciones, principalmente en India.

Transparent Tribe, un grupo de amenazas persistentes avanzadas (APT) que ha estado activo desde al menos 2013, ha comenzado a implementar una nueva herramienta de malware móvil en sus campañas de ciberespionaje.

Los investigadores de Kaspersky informaron esta semana que observaron que el grupo se dirigía activamente a los usuarios de Android en India con application espía disfrazado de un par de aplicaciones populares.

Una vez instalado en un sistema, se ha observado que el malware descarga nuevas aplicaciones y accede a mensajes SMS, registros de llamadas y el micrófono del dispositivo. La nueva herramienta de computer software espía para Android de Transparent Tribe también rastrea la ubicación de un dispositivo infectado y enumera y carga archivos desde él a un servidor remoto controlado por el atacante, dijo Kaspersky en un reporte Miércoles.

Giampaolo Dedola, investigador senior de seguridad del Equipo de Análisis e Investigación World-wide de Kaspersky, dice que los datos disponibles sugieren que los atacantes están alojando los archivos del paquete de Android en sitios world wide web específicos y atraen a los usuarios a esas ubicaciones a través de la ingeniería social.

Según Kaspersky, una de las dos aplicaciones de Android que Clear Tribe está utilizando para distribuir el software program espía es un reproductor de video clip de código abierto que, cuando se instala, muestra un movie para adultos como distracción mientras instala malware adicional en segundo plano. La segunda aplicación se hace pasar por «Aarogya Setu», una aplicación de seguimiento de COVID-19 desarrollada por el Centro Nacional de Informática del gobierno indio.

Ambas aplicaciones intentan instalar otro archivo de paquete de Android en el sistema comprometido. El paquete es una versión modificada de AhMyth, una herramienta de acceso remoto (RAT) de Android de código abierto que está disponible gratuitamente para descargar en GitHub. Según Kaspersky, la versión modificada carece de algunas funciones disponibles en el initial, como la capacidad de robar imágenes de un teléfono Android. Pero también incluye nuevas funciones que mejoran las capacidades de exfiltración de datos del malware.

«El malware parece interesante porque Clear Tribe está invirtiendo en él y está modificando el código de acuerdo con sus necesidades», dice Dedola. «Probablemente significa que (el malware) se utilizará en futuros ataques, y los defensores deberían vigilar esta amenaza para prevenir las infecciones».

El último malware de Transparent Tribe destaca los esfuerzos constantes del grupo de amenazas para expandir su conjunto de herramientas y sus operaciones, según Dedola.

Altamente activo
Transparent Tribe, también conocido como PROJECTM y MYTHIC LEOPARD, es un grupo de amenaza muy activo que se ha dirigido principalmente a objetivos militares, gubernamentales y diplomáticos de la India. El malware principal del grupo hasta ahora ha sido «Crimson RAT», un RAT personalizado basado en .Net entregado a través de documentos maliciosos con una macro incrustada. Los investigadores de Kaspersky también han observado al grupo usando otra RAT basada en .Web y Python llamada Peppy.

Un análisis por Kaspersky – y otro en 2016 por Proofpoint – identificó a Crimson como la herramienta principal de Transparent Tribe para realizar ciberespionaje, al menos hasta ahora. La herramienta multicomponente está equipada con una amplia gama de capacidades, incluidas aquellas que permiten a un atacante administrar de forma remota sistemas de archivos en computadoras infectadas, cargar o descargar archivos, capturar capturas de pantalla, grabar pulsaciones de teclas, grabar audio y online video y robar contraseñas almacenadas en navegadores. Entre los componentes del marco Crimson se encuentra «USB Worm», una herramienta que Kaspersky describió como capaz de robar archivos de unidades extraíbles y propagarse a otros sistemas mediante la infección de medios extraíbles.

Según Dedola, aunque Transparent Tribe es un grupo muy activo, no es especialmente sofisticado. El grupo utiliza una cadena de infección bastante uncomplicated basada en correos electrónicos y documentos de spear-phishing con código VBA incorporado. El grupo también tiende a reutilizar exploits y malware de código abierto.

«Lo que hace que este grupo sea particularmente peligroso es la cantidad de actividades», señala Dedola. «Desde las primeras operaciones, nunca detuvieron sus ataques y pudieron comprometer a miles de víctimas, que probablemente estén relacionadas con organizaciones gubernamentales o militares. Parece que no necesitan exploits de día cero o malware en modo kernel para lograr sus metas «.

Durante el año pasado, se ha observado que Transparent Tribe participó en ataques dirigidos contra organizaciones en Afganistán y muchos otros países. Pero es probable que las víctimas en estos países tengan vínculos con India y Afganistán, dice Dedola.

«Según los documentos maliciosos utilizados para infectar a las víctimas y la información sobre ataques anteriores, sabemos que tienen como objetivo particular militar y diplomático», dice. «Suponemos que tienen motivaciones políticas por el tipo de víctimas y el uso de herramientas de espionaje desarrolladas para robar información».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic