Прозрачное Племя — хакерская группа с пакистанским правительством. Впервые он был раскрыт в качестве контрольной точки в 2016 году. Публичные сообщения о кибератаках в этой группе в основном связаны с военными конфликтами с участием Индии и Пакистана. Группа предоставляет информацию в Пакистан.
Недавно 360 BaiZe Lab перехватила выборку кибератак, подозреваемых в нападениях организации на посольства в Афганистане различных стран. Проанализировав выборку, мы обнаружили, что нападение было тесно связано с подписанием мирного соглашения между Соединенными Штатами и талибами.
Туман за мирным соглашением
29 февраля 2020 года США и талибы подписали мирное соглашение, которое может ознаменовать окончание 18-летней войны в Афганистане.
2 марта EAST AUTO NEWS сообщили, что Пакистан опасается «спойлеров» в мирном соглашении между США и талибами.
СМИ указали, что Соединенные Штаты и Афганистан давно обвиняют Пакистан в предоставлении убежища лидерам афганских талибов, но Пакистан отрицает это утверждение. В докладе также упоминается аналитик по вопросам безопасности и международного освещения Исламабада Хасан Акбар, который говорит, что «Афганистан и все, что там происходит, напрямую влияют на безопасность Пакистана».
Исходя из вышеизложенных фактов, мы предполагаем, что инцидент, в котором Соединенные Штаты и Талибы подписали мирное соглашение, стал катализатором нападения.
Технический анализ
2 марта 2020 года мы перехватили вредоносный документ под названием «New selected official officials.doc», который является поддельным документом недавно отобранных должностных лиц, выпущенным посольством Ирана в Афганистане. Файл выглядит следующим образом:
Макровирусный код, содержащийся в документе, выглядит следующим образом, и троянец удаленного управления Crimson будет выпущен в системном каталоге запуска.
Crimson — троян с дистанционным управлением, уникальный для прозрачного племени. Выполняя различные команды, он может выполнять различные операции, такие как чтение / выгрузка файлов, создание / завершение процесса, снимки экрана, выполнение загрузки полезных данных и т. Д. Список функций выглядит следующим образом:
Резюме
С непрерывным развитием глобальной ситуации источники разведки каждой страны становятся все более и более важными, и прямая кибервойна между соответствующими странами будет усиливаться. Повышение безопасности ключевых объектов национальной сети и создание безопасной и надежной кибер-среды является огромной проблемой, с которой столкнется каждая страна.
Введение 360 BaiZe Lab
Лаборатория сосредоточена на анализе и отслеживании троянских коней BOOTKIT ROOTKIT, и в мире она впервые обнаружила первого троянского шпиона UEFI, скрытого призрака трояна в зоне загрузки, двойных пушек и множество больших ботнетов с темными кистями, таких как черный туман и катастрофа. , Лаборатория обеспечивает техническую поддержку Центр Безопасности 360.
Ссылки:
[1]https://www.proofpoint.com/sites/default/files/proofpoint-operation-transparent-tribe-threat-insight-en.pdf
[2]https://www.freebuf.com/column/228135.html
[3]https://eastautonews.com/pakistan-warns-us-of-spoilers-on-us-taliban-deal-in-afghanistan-news-east-auto-news/