مجموعة Transparent Tribe تهاجم الهند ببرمجيات تجسس متطورة

رصد تقرير تقني حديث موجة جديدة من الهجمات الإلكترونية التي تشنها مجموعة التهديد المعروفة باسم Transparent Tribe، مستهدفة كيانات حكومية وأكاديمية هندية، وذلك باستخدام تروجان للوصول عن بعد (RAT) يمنح المهاجمين سيطرة مستمرة على الأجهزة المخترقة، وفقاً لما تابعه فريق تيكبامين.

كيف تعمل الهجمات الجديدة؟

تعتمد الحملة الأخيرة على تقنيات خداع متطورة لتوصيل البرمجيات الخبيثة، حيث تبدأ العملية عادةً برسائل تصيد إلكتروني تحتوي على ملفات مضغوطة. وبحسب التحليلات التقنية، فإن المهاجمين يستخدمون ملفات اختصار ويندوز (LNK) تتنكر في هيئة مستندات PDF شرعية لخداع الضحايا.

عندما يقوم المستخدم بفتح الملف الملغوم، يتم تشغيل سلسلة من العمليات الخفية التي تهدف إلى تثبيت البرمجية الخبيثة دون إثارة الشكوك، وتتضمن العملية الخطوات التالية:

• تشغيل تطبيق HTML عن بعد (HTA) باستخدام أداة النظام "mshta.exe".
• فك تشفير وتحميل حمولة الـ RAT النهائية مباشرة في ذاكرة الجهاز.
• تحميل وفتح مستند PDF وهمي بالتزامن لصرف انتباه المستخدم عن النشاط الخبيث في الخلفية.

ما هي قدرات برمجيات التجسس المستخدمة؟

تتميز البرمجيات المستخدمة في هذه الحملة بقدرات عالية على التخفي والتحكم، حيث تستفيد من كائنات ActiveX للتفاعل مع بيئة ويندوز. هذا السلوك يوضح قدرة البرمجية على التلاعب ببيئة التشغيل وضمان التوافق مع النظام المستهدف.

ويتضمن الهجوم استخدام ملف DLL يعمل كأداة تحكم كاملة عن بعد، وتشمل قدراته الرئيسية ما يلي:

• التحكم الكامل في النظام عن بعد وإدارة الملفات.
• سرقة البيانات وتسريبها إلى خوادم المهاجمين.
• التقاط صور للشاشة (Screenshots) لتسجيل نشاط المستخدم.
• التلاعب بمحتوى الحافظة (Clipboard) والتحكم في العمليات الجارية.

تاريخ مجموعة APT36 وأهدافها

تُعرف مجموعة Transparent Tribe أيضاً باسم APT36، وهي مجموعة قرصنة يُعتقد أنها ذات أصول هندية وتنشط منذ عام 2013 على الأقل. تشتهر المجموعة بشن حملات تجسس إلكتروني مستمرة ضد المؤسسات الهندية، مستخدمة ترسانة متطورة من أدوات الاختراق.

وقد استخدمت المجموعة في السنوات الأخيرة مجموعة متنوعة من التروجان لتحقيق أهدافها، ومن أبرزها:

• CapraRAT
• Crimson RAT
• ElizaRAT
• DeskRAT

التكيف مع برامج الحماية

أحد الجوانب المثيرة للاهتمام في هذه البرمجيات الخبيثة هو قدرتها على تكييف طريقة ثباتها في النظام بناءً على برامج مكافحة الفيروسات المثبتة على الجهاز المصاب. هذا التكتيك يسمح للمهاجمين بالحفاظ على الوصول إلى الأنظمة الحساسة لفترات طويلة لجمع المعلومات الاستخباراتية.

وفي الأسابيع الأخيرة، تم ربط المجموعة بحملة أخرى استخدمت ملفات اختصار تتنكر كتحذيرات حكومية لنشر محملات تعتمد على بيئة .NET، مما يؤكد إصرار المجموعة على تطوير أساليبها لاختراق القطاعات الاستراتيجية والتعليمية.