Прозрачное Племя — хакерская группа с пакистанским правительством. Впервые он был раскрыт в качестве контрольной точки в 2016 году. Публичные сообщения о кибератаках в этой группе в основном связаны с военными конфликтами с участием Индии и Пакистана. Группа предоставляет информацию в Пакистан.

Недавно 360 BaiZe Lab перехватила выборку кибератак, подозреваемых в нападениях организации на посольства в Афганистане различных стран. Проанализировав выборку, мы обнаружили, что нападение было тесно связано с подписанием мирного соглашения между Соединенными Штатами и талибами.

Туман за мирным соглашением

29 февраля 2020 года США и талибы подписали мирное соглашение, которое может ознаменовать окончание 18-летней войны в Афганистане.

2 марта EAST AUTO NEWS сообщили, что Пакистан опасается «спойлеров» в мирном соглашении между США и талибами.

СМИ указали, что Соединенные Штаты и Афганистан давно обвиняют Пакистан в предоставлении убежища лидерам афганских талибов, но Пакистан отрицает это утверждение. В докладе также упоминается аналитик по вопросам безопасности и международного освещения Исламабада Хасан Акбар, который говорит, что «Афганистан и все, что там происходит, напрямую влияют на безопасность Пакистана».

Исходя из вышеизложенных фактов, мы предполагаем, что инцидент, в котором Соединенные Штаты и Талибы подписали мирное соглашение, стал катализатором нападения.

Технический анализ

2 марта 2020 года мы перехватили вредоносный документ под названием «New selected official officials.doc», который является поддельным документом недавно отобранных должностных лиц, выпущенным посольством Ирана в Афганистане. Файл выглядит следующим образом:

Макровирусный код, содержащийся в документе, выглядит следующим образом, и троянец удаленного управления Crimson будет выпущен в системном каталоге запуска.

Crimson — троян с дистанционным управлением, уникальный для прозрачного племени. Выполняя различные команды, он может выполнять различные операции, такие как чтение / выгрузка файлов, создание / завершение процесса, снимки экрана, выполнение загрузки полезных данных и т. Д. Список функций выглядит следующим образом:

Резюме

С непрерывным развитием глобальной ситуации источники разведки каждой страны становятся все более и более важными, и прямая кибервойна между соответствующими странами будет усиливаться. Повышение безопасности ключевых объектов национальной сети и создание безопасной и надежной кибер-среды является огромной проблемой, с которой столкнется каждая страна.

Введение 360 BaiZe Lab

Лаборатория сосредоточена на анализе и отслеживании троянских коней BOOTKIT ROOTKIT, и в мире она впервые обнаружила первого троянского шпиона UEFI, скрытого призрака трояна в зоне загрузки, двойных пушек и множество больших ботнетов с темными кистями, таких как черный туман и катастрофа. , Лаборатория обеспечивает техническую поддержку Центр Безопасности 360.

Ссылки:

[1]https://www.proofpoint.com/sites/default/files/proofpoint-operation-transparent-tribe-threat-insight-en.pdf

[2]https://www.freebuf.com/column/228135.html

[3]https://eastautonews.com/pakistan-warns-us-of-spoilers-on-us-taliban-deal-in-afghanistan-news-east-auto-news/