Следене на военни и правителствени служители разкри Kasperski

Kasperski написа прессъобщение, а не новина в сайта си, за мерките, които можете да вземете срещу  продължаваща кампания за шпионаж сред военни и правителствени служители. През януари 2019 г. Касперски започва разследване на Transparent Tribe за разпространение на Crimson Remote Access Trojan (RAT).

През януари 2019 г. Касперски започва разследване на продължаваща кампания, стартирана от група, известна като Transparent Tribe за разпространение на Crimson Remote Access Trojan (RAT). Атаките започват с изпращане на злонамерени документи на Microsoft Office до жертвите чрез използване на копия с фишинг имейли. Само за година изследователите са открили над 1000 цели в почти 30 страни. Изследването разкри и нови, неизвестни досега компоненти на Crimson RAT, което показва, че той все още е в процес на разработка. Това са част от констатациите от първата част на разследването, публикувана от Касперски.

Transparent Tribe (още известна като PROJECTM and MYTHIC LEOPARD) е група, която е добре позната в индустрията за киберсигурност заради мащабните си кампании за шпионаж. Дейността им може да се проследи чак до 2013 г. и Касперски наблюдава групата от 2016 г.

Любимият им метод за заразяване са злонамерени документи с вграден макрос. Основният му зловреден софтуер е персонализиран .NET RAT – публично известен като Crimson RAT. Този инструмент е съставен от различни компоненти, което позволява на нападателя да извършва множество дейности на заразени машини – от управление на отдалечени файлови системи и заснемане на екранни снимки до аудио наблюдение с помощта на микрофонни устройства, запис на видео потоци от уеб камери и кражба на файлове от сменяеми носители.

Докато тактиките и техниките на групата остават последователни през годините, проучванията на Касперски показват, че групата непрекъснато създава нови програми за конкретни кампании. По време на проучването си на дейността на групата през последната година, изследователите на Kaspersky забелязват .NET файл, който е открит от продуктите на компанията като Crimson RAT. По-задълбочено разследване обаче показва, че става дума за нещо различно – нов компонент на Rimson от страна на сървъра, използван от нападателите за управление на заразени машини. Има различни версии, той е съставен през 2017, 2018 и 2019 г., което показва, че този софтуер все още се разработва и групата APT работи по начините за подобряването му.

Като цяло, като се имат предвид всички компоненти, които са открити между юни 2019 г. и юни 2020 г., изследователите на Касперски са открили 1 093 цели в 27 държави. Най-засегнатите държави са Афганистан, Пакистан, Индия, Иран и Германия.

„Нашето разследване показва, че Transparent Tribe продължава да упражнява активност срещу множество цели. През последните 12 месеца наблюдавахме много широка кампания срещу военни и дипломатически цели, използвайки голяма инфраструктура за подкрепа на нейните операции и непрекъснати подобрения в арсенала си. Групата продължава да инвестира в основния си RAT, Crimson, за извършване на разузнавателни дейности и шпиониране на чувствителни цели. Не очакваме забавяне от тази група в близко бъдеще и ще продължим да наблюдаваме нейната дейност “, коментира Джампаоло Дедола, експерт по сигурността в Kaspersky.

Можете да споделите: