Ugrupowanie to rozpoczynało ataki od wysyłania ofiarom szkodliwych dokumentów Microsoft Office w spersonalizowanych wiadomościach phishingowych. W ciągu zaledwie roku badacze zidentyfikowali ponad 1 000 celów takich ataków w niemal 30 krajach. Badanie ujawniło również nowe, nieznane wcześniej komponenty trojana Crimson świadczące o ciągłym rozwoju tego szkodnika. Dane te pochodzą z pierwszej części dochodzenia opublikowanego przez firmę Kaspersky.
Transparent Tribe (znany również jako PROJECTM oraz MYTHIC LEOPARD) to niezwykle „produktywny” cybergang powszechnie znany w branży cyberbezpieczeństwa z przeprowadzanych na dużą skalę kampanii szpiegowskich. Jego aktywność sięga 2013 r. i jest monitorowana przez firmę Kaspersky od 2016 r.
Preferowaną metodą infekcji tego ugrupowania jest wykorzystanie szkodliwych dokumentów pakietu Microsoft Office z osadzonymi makrami. Z kolei głównym szkodliwym oprogramowaniem jest specjalnie przygotowany koń trojański umożliwiający zdalny dostęp do maszyn ofiar, powszechnie znany jako Crimson. Narzędzie to składa się z różnych komponentów pozwalających atakującym na wykonywanie szeregu działań na zainfekowanych komputerach – od zarządzania zdalnymi systemami plików oraz przechwytywania zrzutów ekranu po inwigilację audio przy użyciu mikrofonu, nagrywanie strumieni wideo z kamer internetowych oraz kradzież plików z nośników wymiennych.
Chociaż taktyki i techniki stosowane przez Transparent Tribe pozostawały niezmienne przez lata, badanie firmy Kaspersky ujawniło, że ugrupowanie to nieustannie tworzy nowe programy przeznaczone dla konkretnych kampanii. Analizując aktywność ugrupowania w zeszłym roku, badacze zauważyli plik, który produkty firmy Kaspersky wykrywały jako Crimson RAT. Jednak szczegółowe dochodzenie wykazało, że mają oni do czynienia z czymś innym – nowym komponentem trojana Crimson po stronie serwera wykorzystywanym przez cyberprzestępców do zarządzania zainfekowanymi maszynami. Występował on w dwóch wersjach i został skompilowany w roku 2017, 2018 oraz 2019, co świadczy o tym, że oprogramowanie to jest wciąż rozwijane, a cybergang pracuje nad udoskonalaniem go.
Po uaktualnieniu listy komponentów wykorzystywanych przez Transparent Tribe badacze z firmy Kaspersky mogli zaobserwować, w jaki sposób ugrupowanie to ewoluowało – jak przyspieszyło swoje działania, rozpoczęło kampanie infekcji na szeroką skalę, opracowało nowe narzędzia i skierowało większą uwagę na Afganistan.
Biorąc pod uwagę wszystkie komponenty wykryte w okresie od czerwca 2019 r. do czerwca 2020 r., badacze z firmy Kaspersky zidentyfikowali 1 093 celów w 27 krajach. Najbardziej dotknięte kraje to: Afganistan, Pakistan, Indie, Iran oraz Niemcy.
Z naszego dochodzenia wynika, że Transparent Tribe nadal prowadzi intensywne działania skierowane przeciwko różnym celom. Na przestrzeni minionych 12 miesięcy zaobserwowaliśmy szeroką kampanię, której cel stanowiły placówki dyplomatyczne i w której ugrupowanie to wykorzystywało potężną infrastrukturę wspomagającą jej działania oraz ciągłe udoskonalenia w swoim arsenale. Transparent Tribe wciąż inwestuje w swojego głównego trojana – Crimson – w celu prowadzenia działań wywiadowczych i szpiegowania celów wysokiego szczebla. Nic nie wskazuje na jakiekolwiek spowolnienie aktywności tego ugrupowania w najbliższej przyszłości. Z pewnością będziemy monitorowali jego działania – powiedział Giampaolo Dedola, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Szczegółowe informacje dot. wskaźników infekcji (IoC) związanych z tym ugrupowaniem są dostępne w serwisie Kaspersky Threat Intelligence Portal.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają podjęcie następujących środków bezpieczeństwa w celu zabezpieczenia się przed opisywanym zagrożeniem:
· Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń. Kaspersky Threat Intelligence Portal to pojedynczy punt dostępu do analizy zagrożeń firmy Kaspersky zapewniający szczegółowe dane dotyczące cyberataków zgromadzone na przestrzeni ponad 20 lat.
· W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
· Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
· Zapewnij swojemu personelowi szkolenie w zakresie podstawowej higieny związanej z cyberbezpieczeństwem, ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub zastosowania innej metody socjotechnicznej. Przeprowadź symulację ataku phishingowego, aby pracownicy nauczyli się rozpoznawać wiadomości phishingowe.
Dalsze informacje dotyczące opisywanego zagrożenia są dostępne na stronie https://r.kaspersky.pl/Ddhnh.
Badacze z firmy Kaspersky przedstawią więcej informacji na temat aktywności opisywanego cybergangu już wkrótce podczas webinarium „GReAT Ideas. Powered by SAS: advancing on new fronts – tech, mercenaries and more”, które odbędzie się 26 sierpnia o godz. 16:00. Bezpłatna rejestracja jest dostępna na stronie https://kas.pr/v1oj.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.