___

​​Месяц назад мы писали про пакистанскую APT 36, она же Transparent Tribe и Mythic Leopard, которая занимается кибершпионажем, предположительно, в интересах Пакистанской межведомственной разведки (ISI). Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT. Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы. USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети. При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог. Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT. Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.