회사 개요
APT Transparent Tribe(APT36)가 인도군을 유인하여 '장교 배치 정책 개정'이라는 악성 파일을 열게 하고 있습니다. Quick Heal의 APT팀은 이 끈질긴 위협 그룹을 지속적으로 추적해 왔으며, 인도를 표적으로 삼는 새로운 공격 캠페인을 발견했습니다.
동시에, 동일한 위협 행위자가 교육 부문을 표적으로 삼는 사례도 증가하고 있습니다. 이는 작년부터 IIT를 표적으로 삼아 온 공격의 연장선입니다.
또한 이 그룹의 하위 구분은, 사이드카피,있다 관찰 최근 인도 방위 기관을 표적으로 삼았는데, 해당 도메인은 악성 파일을 호스팅하고 있으며 피싱 페이지로 작동하는지 테스트 중이었던 것으로 추정됩니다.
중요한 발견들
- APT36은 '임원 게시 정책 개정 최종본'을 주제로 악성 PPAM 파일을 이용하여 인도군을 표적으로 삼고 있습니다.
- 이러한 매크로가 활성화된 PowerPoint 추가 기능 파일(PPAM)은 보관 파일을 OLE 개체로 내장하여 악성 페이로드를 감싸는 데 사용됩니다.
- 감염 사슬은 22개의 명령과 지속성 메커니즘을 수신하고 실행할 수 있는 .NET 기반 Crimson RAT 페이로드의 실행으로 이어집니다.
공격 체인 개요
- APT2에서 사용하는 C36는 일반적으로 이 위협 그룹의 C2 인프라에서 발견되는 것과 동일한 일반 이름을 사용합니다.
- 현재는 IIT에서 NIT, 경영대학원으로 타깃을 확대하고 있으며, 2023년 XNUMX분기에는 타깃이 확대되어 XNUMX월에 정점을 찍었습니다.
제품 개요
트랜스페어런트 트라이브는 2013년부터 활동해 온 파키스탄의 위협 단체입니다. 인도 정부와 군부대를 표적으로 삼는 지속적인 위협 행위자입니다. 이 단체는 크림슨 RAT과 카프라 RAT 같은 페이로드를 지속적으로 사용하고 있으며, 이를 지속적으로 업그레이드하고 있습니다.
Transparent Tribe는 작년 2022년 2023월부터 교육 부문을 표적으로 삼기 시작했으며, 이는 XNUMX년에 급증했습니다. 인도군을 표적으로 삼은 최신 감염 사슬에 대한 심층 분석과 교육 부문을 표적으로 삼은 세부 사항은 다음에서 확인할 수 있습니다. 백서.
