The Last 24 Hours | 安全无小事
研究人员发现,一个与巴基斯坦结盟的黑客组织发起了一场新的网络间谍行动,目标针对印度政府、学术及战略机构。
此行动被归因于APT36,也称Transparent Tribe,这一长期活跃的威胁团体被指控对印度政府部门、军方关联组织及大学进行间谍活动。
网络安全公司Cyfirma的研究人员表示,最新的行动以钓鱼邮件为起点,邮件附带一个ZIP压缩包,内含伪装成PDF的恶意文件。打开后,该文件会部署两种恶意软件组件,分别被命名为ReadOnly和WriteOnly。
该恶意软件旨在悄然植入受害者系统,并根据已安装的防病毒软件调整行为。Cyfirma称,它能够远程控制被感染的机器,窃取数据并实施持续监视——包括截屏、监控剪贴板活动以及启用远程桌面访问。
研究人员指出,剪贴板监控功能还可能被用于窃取或覆盖复制的数据,进而让攻击者劫持加密货币交易。
研究人员表示:“此次分析的行动强化了该集团长期监视的目标,而非短期的财务或破坏性目的”,并指出该活动符合与国家关联的情报收集优先事项。
尽管研究人员先前将Transparent Tribe描述为技术上不如某些竞争间谍集团先进,但他们也注意到其持久性以及随时间调整战术的能力。
Cyfirma称,最新行动展示了APT36技术能力的进化,涵盖对受信任的Windows组件的滥用、通过常见文件格式进行欺骗,以及多阶段、无文件执行技术。
APT36自2013年至少活跃至今,已与针对印度和阿富汗的政府及军方组织的网络间谍行动相关联,还涉及约30个国家的机构。
该组织还与另一巴基斯坦关联的威胁演员Cosmic Leopard有重叠,后者在去年被发现进行了一场多年针对印度政府机构以及国防和技术相关公司的间谍行动。