Campagne de cyberespionnage en cours : Transparent Tribe cible des installations militaires et gouvernementales dans le monde entier. L'Allemagne fait partie des pays les plus touchés.
Depuis janvier 2019, Kaspersky enquête sur une campagne en cours menée par le groupe APT Transparent Tribe pour distribuer le cheval de Troie d'accès à distance (RAT) Crimson. Les attaques ont commencé par l'envoi de documents Microsoft Office malveillants aux victimes à l'aide d'e-mails de spear phishing. En un an, les chercheurs ont pu identifier plus de 1.000 30 cibles dans près de XNUMX pays. L'analyse du cheval de Troie Crimson a également révélé de nouveaux composants jusque-là inconnus, indiquant que son processus de développement n'est pas encore terminé.
Transparent Tribe, également connu sous le nom de PROJECTM et MYTHIC LEOPARD, est un groupe connu pour ses campagnes d'espionnage massives. Leurs activités remontent à 2013 ; Kaspersky surveille le groupe depuis 2016.
APT groupe Transparent Tribe actif depuis 2016
Transparent Tribe est connu pour infecter les appareils via des documents malveillants avec une macro intégrée. Pour ce faire, il utilise le malware personnalisé.NET RAT - communément appelé Crimson RAT. Cela se compose de divers composants qui permettent à l'attaquant d'effectuer plusieurs activités sur les machines infectées - de la gestion des systèmes de fichiers distants et de la prise de captures d'écran, à la surveillance audio avec des microphones, l'enregistrement de flux vidéo via des webcams, au vol d'informations sur les disques amovibles.
Développement de nouveaux programmes pour les campagnes
Alors que les tactiques et les techniques du groupe sont restées les mêmes au fil des ans, l'analyse de Kaspersky montre que Transparent Tribe a néanmoins continuellement développé de nouveaux programmes pour des campagnes spécifiques. Au cours de l'enquête sur leurs activités au cours de l'année écoulée, les experts ont découvert un fichier .NET que les solutions de Kaspersky ont reconnu comme Crimson RAT. Cependant, une inspection plus approfondie a montré qu'il s'agissait d'autre chose - un nouveau composant Crimson RAT côté serveur utilisé par les attaquants pour gérer les ordinateurs infectés. Il existe en deux versions et a été compilé en 2017, 2018 et 2019. Cela indique que ce logiciel est encore en cours de développement et que le groupe APT travaille sur des moyens de l'améliorer.
Avec une liste mise à jour des composants utilisés par Transparent Tribe, Kaspersky a pu suivre l'évolution du groupe et voir comment il a intensifié ses activités, lancé des campagnes d'infection massives, développé de nouveaux outils et accentué sa concentration sur l'Afghanistan.
Top 5 des pays cibles : l'Allemagne en vue
Au total, en considérant tous les composants détectés entre juin 2019 et juin 2020, les chercheurs de Kaspersky ont identifié 1.093 27 cibles dans XNUMX pays. Outre l'Afghanistan, le Pakistan, l'Inde et l'Iran, l'Allemagne est également l'un des pays les plus touchés.
"Nos résultats indiquent que Transparent Tribe continue de s'engager dans des niveaux élevés d'activité contre plusieurs cibles", a commenté Giampaolo Dedola, chercheur en sécurité chez Kaspersky. « Au cours des douze derniers mois, nous avons observé une campagne très large contre des cibles militaires et diplomatiques. Une vaste infrastructure a été utilisée pour soutenir les opérations et améliorer en permanence son propre arsenal technologique. Le groupe continue d'investir dans Crimson, son principal RAT, pour mener des activités de renseignement et espionner des cibles sensibles. Nous n'anticipons pas de ralentissement de l'activité de ce groupe dans un avenir proche et continuerons à le surveiller."
Des informations détaillées sur les indicateurs de compromission (IoC) liés à ce groupe, y compris les hachages de fichiers et les serveurs C2, sont disponibles sur le portail Kaspersky Threat Intelligence.
Consultez la SecureList de Kaspersky.com pour plus d'informations
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/