Operation Transparent Tribe 是由Darien Huss发起的,通过APT手段攻击印度的外交和军事组织,近期被Proof point公司的研究人员所发现。
这一被称之为“Operation Transparent Tribe”的网络间谍活动,其目标是在印度的外交官和军事人员。Proofpoint公司发现该黑客活动的研究人员证实:攻击者使用一些黑客技术对受害者实施攻击,包括网络钓鱼和水坑攻击,运行远程访问木马(RAT)被称为MSIL/Crimson。
被使用在该网络间谍活动中的MSIL/Crimson RAT可以执行各种数据渗出功能,包括控制便携式摄像机,运行截屏操作以及键盘记录的能力。
2016年2月11日,Proofpoint的研究人员注意到了两起针对在沙特阿拉伯和哈萨克斯坦使馆工作的印度外交官而发起的攻击,并由此发现该国际间谍活动。
Proofpoint研究发现,参与攻击的IP地址在巴基斯坦,并且攻击显得很复杂,部分大规模的操作主要依赖水坑攻击和多个网络钓鱼邮件活动实现。
目标的性质和攻击者所使用的方法意味着这是一起具有国家政治性质的攻击活动, Proofpoint的威胁运营中心副总裁——Kevin Epstein这样解释道:
“这种长时间、多攻击手段的攻击显然是依赖于国家支持的间谍活动,” Epstein这样告诉ThreatPost。 “在犯罪软件的世界里,你很少会看到如此复杂的攻击类型,针对一个国家使用多种攻击手段,这一切都是非常明显的。”
国家支持的黑客攻击,正在用于政府通过网络间谍的手段针对其他国家进行政治问题的情报收集的意图,成为政府的一种特殊手段和选择。
Proofpoint所发现的这项网络间谍活动建立了很多用于服务MSIL/Crimson RAT的网站。
在一个案例中,Operation Transparent Tribe使用恶意电子邮件进行传播武器化的RTF文档,利用CVE-2012-0158 Microsoft ActiveX漏洞,将恶意软件放置在目标机器上。
MSIL/Crimson是一个多级的恶意软件,在完成感染机器后,它会下载功能更全面的远程访问木马组件。
攻击者还使用一个虚假的印度博客新闻网站来服务这个危险的RAT。
*原文地址: SecurityAffairs ,米雪儿编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)