Attuale campagna di spionaggio informatico: Transparent Tribe prende di mira strutture militari e governative in tutto il mondo. La Germania è tra i paesi più colpiti.
Da gennaio 2019, Kaspersky ha indagato su una campagna in corso del gruppo APT Transparent Tribe per distribuire il Remote Access Trojan (RAT) Crimson. Gli attacchi sono iniziati con l'invio di documenti Microsoft Office dannosi alle vittime tramite e-mail di spear phishing. Entro un anno, i ricercatori sono stati in grado di identificare più di 1.000 obiettivi in quasi 30 paesi. L'analisi del Crimson Trojan ha anche rivelato nuovi componenti precedentemente sconosciuti, indicando che il suo processo di sviluppo non è ancora completo.
Transparent Tribe, noto anche come PROJECTM e MYTHIC LEOPARD, è un gruppo noto per le sue massicce campagne di spionaggio. Le loro attività possono essere fatte risalire al 2013; Kaspersky monitora il gruppo dal 2016.
Gruppo APT Transparent Tribe attivo dal 2016
È noto che Transparent Tribe infetta i dispositivi tramite documenti dannosi con una macro incorporata. Per fare ciò, utilizza il malware.NET RAT personalizzato, comunemente noto come Crimson RAT. Questo è costituito da vari componenti che consentono all'attaccante di eseguire molteplici attività sulle macchine infette: dalla gestione di file system remoti e l'acquisizione di schermate, al monitoraggio dell'audio con dispositivi microfonici, alla registrazione di flussi video tramite webcam, al furto di informazioni su disco rimovibili.
Sviluppo di nuovi programmi per le campagne
Sebbene le tattiche e le tecniche del gruppo siano rimaste le stesse nel corso degli anni, l'analisi di Kaspersky mostra che Transparent Tribe ha comunque sviluppato continuamente nuovi programmi per campagne specifiche. Durante l'indagine sulle loro attività nell'ultimo anno, gli esperti hanno scoperto un file .NET che le soluzioni Kaspersky hanno riconosciuto come Crimson RAT. Tuttavia, un esame più attento ha mostrato che si trattava di qualcos'altro: un nuovo componente Crimson RAT lato server utilizzato dagli aggressori per gestire i computer infetti. È disponibile in due versioni ed è stato compilato nel 2017, 2018 e 2019. Ciò indica che questo software è ancora in fase di sviluppo e il gruppo APT sta lavorando su modi per migliorarlo.
Con un elenco aggiornato dei componenti utilizzati da Transparent Tribe, Kaspersky ha potuto seguire l'evoluzione del gruppo e vedere come ha intensificato le sue attività, lanciato massicce campagne di infezione, sviluppato nuovi strumenti e aumentato il suo focus sull'Afghanistan.
Primi 5 paesi target: la Germania in vista
In totale, considerando tutti i componenti rilevati tra giugno 2019 e giugno 2020, i ricercatori di Kaspersky hanno identificato 1.093 obiettivi in 27 paesi. Oltre ad Afghanistan, Pakistan, India e Iran, anche la Germania è uno dei Paesi più colpiti.
"I nostri risultati indicano che Transparent Tribe continua a impegnarsi in alti livelli di attività contro più obiettivi", ha commentato Giampaolo Dedola, ricercatore di sicurezza presso Kaspersky. “Negli ultimi dodici mesi abbiamo osservato una campagna molto ampia contro obiettivi militari e diplomatici. È stata utilizzata un'ampia infrastruttura per supportare le operazioni e migliorare continuamente il proprio arsenale tecnologico. Il gruppo continua ad investire in Crimson, il suo principale RAT, per condurre attività di intelligence e spiare obiettivi sensibili. Non prevediamo alcun rallentamento dell'attività di questo gruppo nel prossimo futuro e continueremo a monitorarlo".
Informazioni dettagliate sugli indicatori di compromissione (IoC) relativi a questo gruppo, inclusi gli hash dei file e i server C2, sono disponibili sul Kaspersky Threat Intelligence Portal.
Consulta la SecureList di Kaspersky.com per ulteriori informazioni
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/