Mevcut siber casusluk kampanyası: Transparent Tribe, dünya çapındaki askeri ve hükümet tesislerini hedef alıyor. Almanya en çok etkilenen ülkeler arasında yer alıyor.
Kaspersky, Ocak 2019'dan bu yana APT grubu Transparent Tribe tarafından Uzaktan Erişim Truva Atı (RAT) Crimson'ı dağıtmak için devam eden bir kampanyayı araştırıyor. Saldırılar, hedef odaklı kimlik avı e-postaları kullanarak kurbanlara kötü amaçlı Microsoft Office belgeleri göndererek başladı. Bir yıl içinde, araştırmacılar yaklaşık 1.000 ülkede 30'den fazla hedef tespit edebildiler. Kızıl Truva Atı'nın analizi, geliştirme sürecinin henüz tamamlanmadığını gösteren, daha önce bilinmeyen yeni bileşenleri de ortaya çıkardı.
PROJECTM ve MYTHIC LEOPARD olarak da bilinen Transparent Tribe, devasa casusluk kampanyalarıyla tanınan bir gruptur. Faaliyetleri 2013 yılına kadar izlenebilir; Kaspersky, grubu 2016'dan beri izliyor.
APT grubu Transparent Tribe 2016'dan beri aktif
Transparent Tribe'ın gömülü bir makro içeren kötü amaçlı belgeler aracılığıyla cihazlara bulaştığı bilinmektedir. Bunu yapmak için, genellikle Crimson RAT olarak bilinen özel malware.NET RAT'ı kullanır. Bu, saldırganın virüs bulaşmış makinelerde uzak dosya sistemlerini yönetmek ve ekran görüntüsü almaktan mikrofon cihazlarıyla sesi izlemeye, web kameraları aracılığıyla video akışlarını kaydetmeye ve çıkarılabilir disk bilgilerinin çalınmasına kadar çok sayıda etkinlik gerçekleştirmesine izin veren çeşitli bileşenlerden oluşur.
Kampanyalar için yeni programların geliştirilmesi
Grubun taktikleri ve teknikleri yıllar içinde aynı kalsa da Kaspersky analizi, Transparent Tribe'ın yine de belirli kampanyalar için sürekli olarak yeni programlar geliştirdiğini gösteriyor. Uzmanlar, geçen yılki faaliyetlerini incelerken, Kaspersky çözümlerinin Crimson RAT olarak tanıdığı bir .NET dosyası keşfetti. Ancak daha yakından incelendiğinde bunun başka bir şey olduğu ortaya çıktı - saldırganlar tarafından virüslü bilgisayarları yönetmek için kullanılan yeni bir sunucu tarafı Crimson RAT bileşeni. İki versiyonu vardır ve 2017, 2018 ve 2019'da derlenmiştir. Bu, bu yazılımın hala geliştirilme aşamasında olduğunu ve APT grubunun onu iyileştirmenin yolları üzerinde çalıştığını gösterir.
Transparent Tribe tarafından kullanılan bileşenlerin güncellenmiş bir listesiyle Kaspersky, grubun gelişimini takip edebildi ve faaliyetlerini nasıl yoğunlaştırdığını, büyük çaplı bulaşma kampanyaları başlattığını, yeni araçlar geliştirdiğini ve Afganistan'a nasıl odaklandığını gördü.
İlk 5 hedef ülke: Almanya ufukta
Toplamda, Haziran 2019 ile Haziran 2020 arasında tespit edilen tüm bileşenleri dikkate alan Kaspersky araştırmacıları, 1.093 ülkede 27 hedef belirledi. Afganistan, Pakistan, Hindistan ve İran'ın yanı sıra Almanya da en çok etkilenen ülkelerden biri.
Kaspersky güvenlik araştırmacısı Giampaolo Dedola, "Sonuçlarımız, Transparent Tribe'ın birden fazla hedefe karşı yüksek düzeylerde faaliyet göstermeye devam ettiğini gösteriyor" dedi. “Geçtiğimiz on iki ay boyunca askeri ve diplomatik hedeflere karşı çok geniş bir harekat gözlemledik. Operasyonları desteklemek ve kendi teknolojik cephaneliğini sürekli geliştirmek için kapsamlı altyapı kullanıldı. Grup, istihbarat faaliyetleri yürütmek ve hassas hedefler hakkında casusluk yapmak için ana RAT'ı olan Crimson'a yatırım yapmaya devam ediyor. Yakın gelecekte bu grubun faaliyetlerinde herhangi bir yavaşlama beklemiyoruz ve bunu izlemeye devam edeceğiz."
Dosya karmaları ve C2 sunucuları dahil olmak üzere bu grupla ilgili Tehlike Göstergeleri (IoC) hakkında ayrıntılı bilgiler Kaspersky Tehdit İstihbarat Portalı'nda mevcuttur.
Daha fazla bilgi için Kaspersky.com'un SecureList'ine bakın
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi