據The Hacker News消息，具有巴基斯坦國家背景的，名為“透明部落(Transparent Tribe)”的APT組織，正在利用一個基于Windows的CrimsonRAT遠程訪問木馬大肆發起網絡攻擊活動，目標直指印度官員。

思科 Talos安全研究人員表示，“自2021年6月以來，透明部落在印度網絡空間中一直非常活躍，他們攻擊的主要目標是阿富汗和印度的政府官員、軍事人員等，此次攻擊活動讓他們離這一目標更近一步，且已經建立起了向核心目標發起長期網絡攻擊的準備。”

2016年2月，ProofPoint首次發現了透明部落APT組織，其IP地址位于巴基斯坦，具有明顯的政府色彩。該組織運用了網絡釣魚、水坑攻擊、遠程訪問木馬等多重復雜手段，向印度駐沙特阿拉伯和哈薩克斯坦使館的外交官和軍事人員發起攻擊。

如今，透明部落再一次活躍了起來。2022年2月，高級持續性威脅擴展了其惡意軟件工具集，通過名為CapraRAT的后門入侵 Android 設備，該后門與透明部落使用的CrimsonRAT木馬高度“交叉”。

在報告中，思科Talos詳述此次攻擊活動，在新一系列的攻擊中，黑客利用“偽裝成合法政府和相關組織的虛假域來傳播惡意軟件的有效載荷，包括一個基于python的存儲器，用于安裝基于.NET的網絡偵察工具和RATs，以及一個基于的.NET的植入木馬，以便在受感染的系統上運行任意代碼。”

除了不斷優化部署策略和惡意功能外，透明部落還大力發展各種交付方法，例如模擬合法應用程序安裝程序、存檔文件和武器化文檔的可執行文件，以便更好地針對印度官員和軍事人員。

其中一個下載器可執行文件偽裝成 Kavach(在印地語中意為“盔甲”)，這是一種印度政府強制要求的兩因素身份驗證解決方案，用于訪問電子郵件服務，以傳遞惡意工件。

透明部落還使用了以 COVID-19為主題的誘餌圖像和虛擬硬盤文件(又名VHDX文件)，它們被用于遠程命令和控制服務器(例如 CrimsonRAT)，用于收集敏感數據并建立對受害者網絡的長期訪問權限。

思科Talos安全研究人員表示：“透明部落正在使用多種類型的運載工具，和可以輕松修改以進行敏捷操作的新型定制惡意軟件，表明該組織具有攻擊性、持久性、敏捷性，更重要的是，他們還在不斷進行發展和優化，值得引起相關人員的警惕。”

參考來源：https://thehackernews.com/2022/03/new-hacking-campaign-by-transparent.html