03 Jan
Introduction
Les cyberattaques continuent d’évoluer à un rythme alarmant, et parmi elles, les campagnes menées par le dangereux groupe Transparent Tribe, alias APT36, se distinguent. Ce groupe est connu pour cibler des institutions gouvernementales et académiques indiennes avec des logiciels malveillants sophistiqués, notamment des Remote Access Trojans (RATs) permettant de prendre le contrôle à distance des machines compromises. Aujourd’hui, nous explorons les techniques qu’ils utilisent et leurs implications pour la cybersécurité.
Transparent Tribe : Origines et Objectifs
Transparent Tribe, actif depuis au moins 2013, est une menace persistante avancée (APT) qui se concentre principalement sur l’espionnage numérique en Inde. Associé à un État, ce groupe dispose d’une gamme d’outils en constante évolution pour atteindre ses objectifs. Parmi les malwares utilisés, on note CapraRAT, Crimson RAT, ElizaRAT et DeskRAT.
Grâce à ces outils, Transparent Tribe collecte des informations sensibles tout en s’adaptant intelligemment pour contourner les mesures de sécurité existantes. Leur cible principale reste les entités indiennes, qu’il s’agisse de gouvernements, d’universités ou de secteurs stratégiques.
Techniques de Livraison des Malwares
Les techniques employées par APT36 incluent des emails de phishing contenant des fichiers .LNK déguisés en documents PDF légitimes. L’ouverture de ces fichiers active un script HTA masqué, qui, à son tour, télécharge le RAT tout en affichant un faux PDF. Cela permet de désorienter l’utilisateur pour garantir l’installation du logiciel malveillant.
Une méthode notable est l’utilisation de l’exécutable « mshta.exe », souvent abusée par les malwares pour charger des payloads en mémoire sans toucher directement le disque, rendant ainsi leur détection plus difficile pour les antivirus.
Mécanismes de Persistance
Pour rester actif, le malware adapte ses méthodes de persistance en fonction de l’antivirus détecté :
- Si le système utilise Kaspersky, une charge utile HTA est créée dans un répertoire public avec un fichier .LNK dans le dossier de démarrage.
- Avec Quick Heal, un fichier batch est utilisé pour maintenir la persistance.
- Pour Avast, AVG ou Avira, le malware copie directement la charge utile dans le répertoire de démarrage.
Ces stratégies démontrent une compréhension approfondie des technologies de sécurité utilisées par leurs cibles.
Fonctionnalités des RATs utilisés
Le logiciel malveillant déployé par Transparent Tribe est un RAT permettant de :
- Contrôler le système à distance
- Gérer les fichiers
- Exfiltrer des données
- Faire des captures d’écran
- Manipuler le presse-papiers
- Contrôler les processus en cours
Ces fonctionnalités font du RAT un outil puissant pour les cyberespions, leur permettant un contrôle quasi total sur les systèmes compromis.
Nouvelle Offensive : Campagne sur les Conseils NCERT
Une des campagnes récentes d’APT36 utilise un fichier .LNK déguisé en document « NCERT-Whatsapp-Advisory.pdf ». Ce fichier active un installateur MSI à partir d’un serveur distant, qui installe plusieurs DLL malveillants, tous conçus pour assurer une collecte d’informations et une persistance à long terme.
L’adaptabilité de ce groupe à détourner des documents officiels légitimes montre leur niveau de sophistication.
Mesures pour se Protéger
Face à ces attaques, il est impératif d’adopter les meilleures pratiques de cybersécurité :
- Méfiez-vous des emails et pièces jointes non sollicitées.
- Implémentez une formation de sensibilisation pour vos employés.
- Utilisez des solutions de détection des comportements anormaux.
- Mettez à jour régulièrement vos solutions antivirus et vos systèmes d’exploitation.
Ces mesures peuvent limiter les opportunités pour des acteurs tels qu’APT36 de compromettre vos systèmes.
Conclusion
Les campagnes de Transparent Tribe rappellent l’importance cruciale d’une cybersécurité proactive. En restant alertes et en adoptant des approches basées sur la détection et la prévention, les institutions peuvent réduire les risques liés à ces menaces persistantes. Chez Lynx Intel, nous mettons notre expertise à votre disposition pour identifier et neutraliser les cyberrisques avant qu’ils ne deviennent inévitables.
