透明部落黑客组织进化分析

背景和主要发现

透明部落（又称PROJECTM和MYTHIC LEOPARD）是一个活动频繁的组织，其活动可以追溯到2013年。Proofpoint 在2016年发表了一篇有关他们的很好的文章，从那时起，我们一直关注着。我们已经通过APT威胁情报报告了他们的活动，在过去的四年中，这个APT小组从未休假。他们的目标通常是印度军方和政府人员。

多年来，该小组TTP一直保持一致，不断使用某些工具并为特定的活动创建新的程序。他们最喜欢的感染媒介是带有嵌入式宏的恶意文档，这些文档似乎是由自定义生成器生成的。

他们的主要恶意软件是自定义的.NET RAT，俗称Crimson RAT，但多年来，我们还观察到了其他自定义.NET恶意软件和基于Python的RAT Peppy的使用。

在过去的一年中，我们看到该组织加强了其活动，开始了大规模的感染运动，开发了新的工具并加强了对阿富汗的关注。

我们最近的调查将在两个博客文章中进行介绍。第一部分将涵盖以下关键点：

• 我们发现了Crimson Server组件，这是Transparent Tribe用来管理受感染机器和进行间谍活动的C2。该工具证实了我们对Crimson RAT的大多数观察结果，并帮助我们了解了攻击者的观点。
• 透明部落继续传播深红RAT，感染了多个国家（主要是印度和阿富汗）的受害者。
• USBWorm组件是真实的，并且已在数百个系统上检测到它。这种恶意软件的存在早在几年前就已被推测出来，但是据我们所知，它从未被公开描述过。

…

更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1305/

消息与封面来源：SUCURELIST，译者：叶绿体

本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。