شهد المشهد السيبراني في الهند تحولاً ملحوظاً مع استهداف مجموعة قراصنة مقرها باكستان، والتي تُعرف باسم Transparent Tribe، لقطاع الشركات الناشئة في البلاد، لا سيما تلك العاملة في مجالات الأمن السيبراني والاستخبارات.
تُعرف المجموعة أيضاً باسم APT36، وهي نشطة منذ عام 2013، وتستخدم حالياً برمجيات خبيثة تعرف بـ Crimson RAT لاختراق الشركات الناشئة الهندية عبر رسائل بريد إلكتروني احتيالية مصممة بعناية تحتوي على ملفات ضارة تتخفى كهيئة مستندات رسمية.
تم اكتشاف هذه الحملة الهجومية بعد أن عثر باحثون على ملفات مشبوهة تم تحميلها من الهند وتحوي مواد تتعلق بالشركات الناشئة. على عكس العمليات السابقة التي استهدفت منظمات دفاعية ومؤسسات تعليمية، تركز هذه الحملة بشكل خاص على الأفراد المرتبطين بشركات ناشئة تقدم خدمات أمنية لوكالات إنفاذ القانون.
استخدم القراصنة معلومات شخصية لأحد مؤسسي الشركات الناشئة الحقيقيين لإنشاء مستندات وهمية مقنعة تبدو شرعية للضحايا غير المتشككين.
وفقاً لباحثي Acronis، تقوم المجموعة بتسليم برمجياتها الخبيثة عبر ملفات ISO مرسلة عبر البريد الإلكتروني. عندما يفتح شخص ما ما يبدو أنه جدول بيانات Excel، فإن ذلك يقوم عن غير قصد بتنشيط سلسلة من الأوامر المخفية التي تقوم بتثبيت Crimson RAT على حاسوبه.
هذا الفيروس المتسلل عبر الوصول عن بعد (RAT) يسمح للقراصنة بمراقبة الشاشات، تسجيل الصوت، سرقة الملفات، والتحكم في الأنظمة المصابة دون علم الضحية.
حملة Transparent Tribe تستهدف منظومة الشركات الناشئة في الهند
تبدأ عملية الإصابة عندما يتلقى الضحايا بريداً إلكترونياً يحتوي على ملف يسمى MeetBisht.iso. داخل هذا الملف، توجد ملفات مخفية تتضمن مستندًا وهميًا لإلهاء الضحية، ونصًا برمجيًا (batch script) يعالج التنفيذ، والحمولة الأساسية لـ Crimson RAT المتخفية كهيئة ملف Excel قابل للتنفيذ.
عند التفعيل، يقوم الاختصار الخبيث بتشغيل النص البرمجي الذي يعرض ملف Excel مزيفًا في نفس الوقت، بينما يقوم سراً بنسخ البرمجية الخبيثة إلى مجلدات النظام بالحاسوب.
يستخدم النص البرمجي أوامر PowerShell لإزالة تحذيرات الأمان التي قد تنبه المستخدمين عادةً بشأن الملفات المشبوهة. بعد ذلك، يقوم بإنشاء ملف تنفيذي مرتبط بشكل دائم باسم عشوائي في مجلد بيانات التطبيق الخاص بالمستخدم ويقوم بتشغيل البرمجية الخبيثة من هذا الموقع الموثوق به.
تستخدم حمولة Crimson RAT تقنيات مراوغة متطورة. يظهر ملف البرمجية الخبيثة كأنه ضخم اصطناعياً ليصل إلى 34 ميجابايت عبر بيانات غير ضرورية مضمنة، على الرغم من أن الشيفرة الخبيثة الفعلية تبلغ 80 إلى 150 كيلوبايت فقط. تساعد تقنية الانتفاخ هذه في تجاوز أنظمة الكشف القائمة على التوقيع.
تستخدم البرمجية الخبيثة أسماء دوال عشوائية بالكامل في جميع أنحاء شيفرتها، مما يجعل التحليل صعباً للغاية. تتواصل البرمجية الخبيثة مع خوادم القيادة والتحكم (C&C) باستخدام بروتوكولات TCP مخصصة على منافذ غير قياسية، بما في ذلك 18661، 20856، 26868، 29261، و 36628.
ينبغي على المنظمات تطبيق تصفية البريد الإلكتروني لحظر المرفقات بصيغة ISO والملفات الحاوية من مصادر غير معروفة. يساعد التدريب المنتظم على الوعي الأمني الموظفين على التعرف على تكتيكات الهندسة الاجتماعية. يمكن لنشر حلول كشف نقاط النهاية تحديد نشاط PowerShell المشبوه وتعديلات الملفات غير المصرح بها.
يجب أن تراقب الشبكات الاتصالات الصادرة غير العادية إلى المنافذ غير القياسية التي تستخدمها Crimson RAT. يضمن الحفاظ على تحديث خلاصات معلومات التهديدات الحماية ضد خوادم القيادة والتحكم المعروفة المرتبطة بحملات Transparent Tribe.