Поточна кампанія кібершпигунства: Transparent Tribe націлена на військові та державні об’єкти по всьому світу. Німеччина є однією з найбільш постраждалих країн.
З січня 2019 року Kaspersky розслідує триваючу кампанію групи APT Transparent Tribe з розповсюдження трояна віддаленого доступу (RAT) Crimson. Атаки почалися з надсилання шкідливих документів Microsoft Office жертвам за допомогою фішингових електронних листів. Протягом року дослідники змогли ідентифікувати понад 1.000 цілей у майже 30 країнах. Аналіз трояна Crimson також виявив нові, раніше невідомі компоненти, що вказує на те, що процес його розробки ще не завершено.
Transparent Tribe, також відома як PROJECTM і MYTHIC LEOPARD, — група, відома своїми масштабними шпигунськими кампаніями. Їхню діяльність можна простежити з 2013 року; Касперський стежив за групою з 2016 року.
Група APT Transparent Tribe діє з 2016 року
Відомо, що Transparent Tribe заражає пристрої через шкідливі документи з вбудованим макросом. Для цього він використовує спеціальне шкідливе програмне забезпечення.NET RAT, широко відоме як Crimson RAT. Він складається з різних компонентів, які дозволяють зловмиснику виконувати різноманітні дії на заражених машинах – від керування віддаленими файловими системами та створення скріншотів до моніторингу аудіо за допомогою мікрофонних пристроїв, запису відеопотоків через веб-камери до викрадення інформації зі знімного диска.
Розробка нових програм для кампаній
Незважаючи на те, що тактика та прийоми групи залишалися незмінними протягом багатьох років, аналіз Kaspersky показує, що Transparent Tribe, незважаючи на це, постійно розробляє нові програми для конкретних кампаній. Під час розслідування їхньої діяльності за останній рік експерти виявили файл .NET, який рішення Касперського розпізнали як Crimson RAT. Однак уважніше дослідження показало, що це було щось інше – новий серверний компонент Crimson RAT, який використовувався зловмисниками для керування зараженими комп’ютерами. Він доступний у двох версіях і був складений у 2017, 2018 та 2019 роках. Це вказує на те, що це програмне забезпечення все ще знаходиться на стадії розробки, і група APT працює над способами його вдосконалення.
Завдяки оновленому списку компонентів, які використовує Transparent Tribe, Касперський зміг простежити за еволюцією групи та побачити, як вона активізувала свою діяльність, запустила масові кампанії зараження, розробила нові інструменти та зосередилася на Афганістані.
Топ-5 цільових країн: Німеччина на виду
Загалом, враховуючи всі компоненти, виявлені з червня 2019 року по червень 2020 року, дослідники Kaspersky визначили 1.093 цілі в 27 країнах. Крім Афганістану, Пакистану, Індії та Ірану, Німеччина також є однією з найбільш постраждалих країн.
«Наші результати свідчать про те, що Transparent Tribe продовжує активно діяти проти кількох цілей», — прокоментував Джампаоло Дедола, дослідник безпеки Kaspersky. «Протягом останніх дванадцяти місяців ми спостерігали дуже широку кампанію проти військових і дипломатичних цілей. Розгалужена інфраструктура використовувалася для підтримки операцій і постійного вдосконалення власного технологічного арсеналу. Група продовжує інвестувати в Crimson, свою основну RAT, для проведення розвідувальної діяльності та шпигування за чутливими цілями. Ми не очікуємо уповільнення активності цієї групи найближчим часом і будемо продовжувати її моніторинг».
Детальна інформація про показники компрометації (IoC), пов’язані з цією групою, включаючи хеші файлів і сервери C2, доступна на порталі Kaspersky Threat Intelligence Portal.
Для отримання додаткової інформації див. SecureList Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/