Campanha atual de espionagem cibernética: Transparent Tribe tem como alvo instalações militares e governamentais em todo o mundo. A Alemanha está entre os países mais afetados.
Desde janeiro de 2019, a Kaspersky investiga uma campanha em andamento do grupo APT Transparent Tribe para distribuir o Trojan de acesso remoto (RAT) Crimson. Os ataques começaram enviando documentos maliciosos do Microsoft Office para as vítimas usando e-mails de spear phishing. Em um ano, os pesquisadores conseguiram identificar mais de 1.000 alvos em quase 30 países. A análise do Crimson Trojan também revelou novos componentes anteriormente desconhecidos, indicando que seu processo de desenvolvimento ainda não está completo.
Transparent Tribe, também conhecido como PROJECTM e MYTHIC LEOPARD, é um grupo conhecido por suas campanhas de espionagem em massa. Suas atividades remontam a 2013; A Kaspersky monitora o grupo desde 2016.
Grupo APT Transparent Tribe ativo desde 2016
O Transparent Tribe é conhecido por infectar dispositivos por meio de documentos maliciosos com uma macro incorporada. Para fazer isso, ele usa o malware.NET RAT personalizado - comumente conhecido como Crimson RAT. Isso consiste em vários componentes que permitem ao invasor realizar várias atividades em máquinas infectadas - desde o gerenciamento de sistemas de arquivos remotos e capturas de tela até o monitoramento de áudio com dispositivos de microfone, gravação de fluxos de vídeo por webcams e roubo de informações de disco removível.
Desenvolvimento de novos programas para campanhas
Embora as táticas e técnicas do grupo tenham permanecido as mesmas ao longo dos anos, a análise da Kaspersky mostra que o Transparent Tribe desenvolveu continuamente novos programas para campanhas específicas. Durante a investigação de suas atividades no ano passado, os especialistas descobriram um arquivo .NET que as soluções da Kaspersky reconheceram como Crimson RAT. No entanto, uma inspeção mais detalhada mostrou que era outra coisa - um novo componente Crimson RAT do lado do servidor usado pelos invasores para gerenciar computadores infectados. Ele vem em duas versões e foi compilado em 2017, 2018 e 2019. Isso indica que este software ainda está em desenvolvimento e o grupo APT está trabalhando em maneiras de melhorá-lo.
Com uma lista atualizada de componentes usados pelo Transparent Tribe, a Kaspersky pôde acompanhar a evolução do grupo e ver como ele intensificou suas atividades, lançou campanhas massivas de infecção, desenvolveu novas ferramentas e aumentou seu foco no Afeganistão.
Os 5 principais países-alvo: Alemanha à vista
No total, considerando todos os componentes detectados entre junho de 2019 e junho de 2020, os pesquisadores da Kaspersky identificaram 1.093 alvos em 27 países. Além do Afeganistão, Paquistão, Índia e Irã, a Alemanha também é um dos países mais afetados.
"Nossos resultados indicam que o Transparent Tribe continua a se envolver em altos níveis de atividade contra vários alvos", comentou Giampaolo Dedola, pesquisador de segurança da Kaspersky. “Nos últimos doze meses observamos uma campanha muito ampla contra alvos militares e diplomáticos. Ampla infraestrutura foi utilizada para dar suporte às operações e aprimorar continuamente seu próprio arsenal tecnológico. O grupo continua investindo na Crimson, sua principal RAT, para realizar atividades de inteligência e espionar alvos sensíveis. Não prevemos qualquer abrandamento da atividade deste grupo num futuro próximo e continuaremos a monitorizá-lo”.
Informações detalhadas sobre indicadores de comprometimento (IoC) relacionados a esse grupo, incluindo hashes de arquivo e servidores C2, estão disponíveis no Kaspersky Threat Intelligence Portal.
Consulte a SecureList da Kaspersky.com para obter mais informações
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/