2023 年 4 月,SentinelLabs报告称正在跟踪一组专门攻击印度教育部门的恶意文档。这些恶意文档旨在暂存 CrimsonRAT,这是一种远程访问特洛伊木马 (RAT),至少自 2016 年以来,巴基斯坦的对手 APT36(也称为透明部落)就开始传播该木马。这个出于政治动机的对手自 2013 年以来一直活跃,此前的活动曾在 2022 年底被 AttackIQ模仿过。
研究人员已确定,这一事件与该组织先前记录的针对印度次大陆教育部门的行动有关。据评估,对手的目标是跟踪敌对国家的研究工作,强调这项活动在实现 APT36 所代表的当局的目标和利益方面所发挥的重要作用。
AttackIQ 发布了一个新的攻击图,旨在模仿出于政治动机的巴基斯坦对手 APT36 最近针对印度次大陆教育部门的目标所领导的活动。
针对这些行为验证安全程序的性能对于降低风险至关重要。通过在 AttackIQ 安全优化平台中使用这个新的攻击图,安全团队将能够:
-
针对高度复杂、长期存在的对手,评估安全控制的性能。
-
根据 APT36 在多个事件中成功采用的策略、技术和程序 (TTP) 评估他们的安全态势。
-
持续验证针对高度确定且出于政治动机的威胁的检测和预防渠道。
APT36 – 2022-08 – CrimsonRAT 针对印度教育行业的攻击
-
入口工具传输 ( T1105 ):此场景在两个单独的场景中下载到内存并保存到磁盘,以测试网络和端点控制及其防止传递已知恶意内容的能力。 -
命令和脚本解释器 ( T1059 ): CrimsonRAT 使用“set”命令来获取当前环境变量的列表。 -
查询注册表(T1012):HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun查询注册表项以检查该值是否存在Kosovo。 -
登录自动启动执行:注册表运行键 ( T1547.001 ):此方案设置HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows 用于识别系统启动时应运行哪些应用程序的注册表键。 
-
Windows Management Instrumentation ( T1047 ):此方案使用wmic命令来收集硬件信息,例如 CPU 和主板属性。
-
系统信息发现 ( T1082 ):systeminfo执行本机命令以检索所有 Windows 系统信息。 -
系统所有者/用户发现(T1033):通过运行来whoami获取users有关当前可用帐户和权限组的详细信息。 -
系统网络配置发现 ( T1016 ):ipconfig使用标准 Windows 实用程序(如、arp、route和 )收集资产的网络配置nltest。 -
文件和目录发现 ( T1083 ):此场景使用本机dir命令查找感兴趣的文件并将其输出到临时文件。 -
进程发现(T1057): Windows的内置tasklist命令作为命令进程执行,并将结果保存到临时位置的文件中。 -
外围设备发现 ( T1120 ):此场景通过执行命令和二进制文件检索有关系统外围设备(例如逻辑驱动器、物理内存、网卡)的信息。 -
安全软件发现 ( T1518.001 ):执行 PowerShell 脚本以确定哪些软件已作为AntiVirusProduct类安装。
-
来自可移动介质的数据 ( T1025 ):本机实用程序fsutil用于识别连接到主机的任何其他硬盘。然后使用 PowerShell 迭代每个可移动媒体设备并收集文件列表。 -
操作系统凭证转储 ( T1003 ):此场景使用开源工具LaZagne转储主机上所有可能的可用凭证。 -
电子邮件收集 ( T1114.001 ):.pst此方案将递归查找.ost用户配置文件目录下的文件(Outlook 使用的电子邮件文件)。 -
屏幕捕获 ( T1113 ):此方案执行 PowerShell 脚本,该脚本利用命名空间Graphics.CopyFromScreen中的方法从System.Drawing受感染的系统收集屏幕截图。 -
输入捕获:键盘记录 ( T1056.001 ):执行键盘记录器,挂钩 API 回调以收集登录用户键入的击键。 -
通过 C2 通道进行渗透 ( T1041 ):使用请求将文件发送到 AttackIQ 控制的服务器HTTP POST。
Process Name == reg.exeCommand Line Contains (“ADD” AND “CurrentVersionRun”
MITRE ATT&CK 有以下缓解建议:
-
M1057 – 数据丢失防护
https://attack.mitre.org/mitigations/M1057/
-
M1031 – 网络入侵防御
https://attack.mitre.org/mitigations/M1031/
结束语
总之,此攻击图将帮助组织评估安全和事件响应流程,并支持改进安全控制态势,以应对高产且复杂的网络犯罪分子。通过持续测试和使用这些攻击图生成的数据,您的团队可以集中精力实现关键安全成果,调整安全控制,并努力提高整体安全计划针对已知危险威胁的有效性。
AttackIQ 随时准备帮助安全团队实施此攻击图和 AttackIQ 安全优化平台的其他方面,包括通过我们的完全托管服务AttackIQ Ready!,以及我们共同管理的安全服务AttackIQ Enterprise。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):效仿 APT36 最近针对印度教育部门的活动
