U januaru 2019. godine, kompanija Kaspersky je započela istragu tekuće kampanje koju je pokrenula grupa poznata pod nazivom Transparent Tribe kako bi distribuirala Crimson Remote Access Trojan (RAT) malver. Napadi su otpočeli sa malicioznim Microsoft Office dokumentima koji su putem korišćenja “spir fišing” i-mejlova poslani žrtvama. Tokom samo godinu dana, istraživači su pronašli preko 1.000 meta u gotovo 30 zemalja. Istraživanje je takođe otkrilo nove, prethodno nepoznate komponente Crimson RAT malvera, ukazujući na to da se on još uvek nalazi u procesu razvoja. Ovo su neki od nalaza prvog dela istrage koje je objavila kompanija Kaspersky.
Transparent Tribe (takođe poznata kao PROJECTM i MYTHIC LEOPARD) je veoma uspešna grupa koja je u sajber-bezbednosnoj industriji dobro poznata po svojim masovnim kampanjama špijunaže. Njena aktivnost je otpočela još u 2013. Godini, a kompanija Kaspersky motri na grupu od 2016.
Njena omiljena metoda za inficiranje uređaja su maliciozni dokumenti sa ugrađenim makroom. Njen glavni malver je .NET RAT – javno poznat kao Crimson RAT. Ovaj alat se sastoji od različitih komponenti, koje omogućavaju napadaču da izvrši mnoštvo aktivnosti na inficiranim mašinama – od daljinskog upravljanja sistemima fajlova i snimanja ekrana do vršenja audio nadzora korišćenjem mikrofonskih uređaja, snimanja video priloga sa veb kamera i krađe fajlova sa prenosnih medija.
Mada su taktike i tehnike grupe godinama ostale dosledne, istraživanje kompanije Kaspersky je pokazalo da je grupa konstantno kreirala nove programe za specifične kampanje. Tokom njihovog istraživanja aktivnosti grupe u prethodnoj godini, istraživači kompanije Kaspersky uočili su .NET fajl koga su proizvodi kompanije prepoznali kao Crimson RAT malver. Dalja istraga je, međutim, pokazala da je reč o nečemu drugačijem – novoj Crimson RAT komponenti na strani servera koju napadači koriste kako bi upravljali inficiranim mašinama. Detektovane su dve verzije ovog softvera, sastavljene u 2017, 2018. i 2019. godini, što ukazuje na to da je ovaj softver još uvek u razvojnoj fazi i da APT grupa radi na njegovom unapređenju.
Kroz ažurnu listu komponenti koje koristi grupa Transparent Tribe , kompanija Kaspersky je imala priliku da posmatra evoluciju grupe i način na koji je ona unapredila svoje aktivnosti, pokrenula masovne kampanje inficiranja, razvila nove alate i dodatnu pažnju posvetila Avganistanu.
Sve u svemu, imajući na umu sve komponente koje su detektovane u periodu između juna 2019. i juna 2020.godine, istraživači kompanije Kaspersky su pronašli 1.093 mete širom 27 zemalja. Najpogođenije nacije su Avganistan, Pakistan, Indija, Iran i Nemačka.
“Naše istraživanje ukazuje na to da grupa Transparent Tribe nastavlja da sprovodi veliki broj aktivnosti usmerenih protiv mnoštva meta. Tokom poslednjih 12 meseci, bili smo svedoci veoma opsežne kampanje protiv vojnih i diplomatskih meta, za čije je operacije i kontinuirano unapređenje arsenala korišćena velika infrastruktura. Grupa je nastavlja da ulaže u svoj glavni RAT, Crimson malver, kako bi sprovela obaveštajne aktivnosti i špijunirala osetljive mete. Ne očekujemo da će u bliskoj budućnosti biti zabeleženo usporavanje ove grupe i nastavićemo da pratimo njene aktivnosti,” komentariše Giampaolo Dedola, bezbednosni stručnjak u kompaniji Kaspersky.
Detaljne informacije o indikatorima o kompromitovanju koji su povezani sa ovom grupom, uključujući heševe fajlova i C2 servere, možete pogledati na portalu Kaspersky Threat Intelligence Portal.
Kako biste bili bezbedni od pretnji, kompanija Kaspersky preporučuje preduzimanje sledećih bezbednosnih mera:
- Svom SOC timu obezbedite pristup najnovijim informacijama o pretnjama. Kaspersky Threat Intelligence Portal predstavlja jedinstvenu pristupnu tačku za informacije o pretnjama za kompaniju, pružajući podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila tokom više od 20 godina.
- Za detekciju na nivou krajnje tačke, istraživanje i blagovremeno saniranje incidenata, implementirajte EDR rešenja kao što je Kaspersky Endpoint Detection and Response.
- Osim usvajanja neophodne zaštite krajnje tačke, implementirajte bezbednosno rešenje na korporativnom nivou, koje u ranoj fazi detektuje napredne pretnje na nivou mreže, kao što je Kaspersky Anti Targeted Attack Platform.
- Svom osoblju obezbedite osnovnu sajber-bezbednosnu obuku, s obzirom na to da mnogi sajber napadi otpočinju fišingom ili drugim tehnikama socijalnog inženjeringa. Sprovedite simulaciju fišing napada kako bi bili sigurni da zaposleni znaju kako da prepoznaju fišing i-mejlove.
Za više detalja o novim napadima, pročitajte izveštaj u celosti na Securelist.
Saznajte više o aktivnostima ove APT grupe na predstojećem vebinaru “GReAT Ideas. Powered by SAS: advancing on new fronts – tech, mercenaries and more”, koji će biti održan 26. avgusta u 14:00 GMT. Registrujte se besplatno ovde: https://kas.pr/v1oj