De bibliotheek voor digitale criminaliteit

Brede campagne tegen militaire en diplomatieke doelen waargenomen

Gepubliceerd op 21 augustus 2020 om 09:37

Brede campagne tegen militaire en diplomatieke doelen waargenomen

'Transparent Tribe' is een groep cybercriminelen, bekend om zijn massale spionagecampagnes.

In januari 2019 startte Kaspersky een onderzoek naar de verspreiding van de Crimson Remote Access Trojan (RAT). In een jaar tijd heeft Kasperksy ruim 1000 doelwitten in bijna 30 landen gevonden. Het onderzoek ontdekte daarnaast nieuwe, nog onbekende componenten van de Crimson RAT. Dit is een van de bevindingen uit het eerste deel van het onderzoek, gepubliceerd door Kaspersky.

Activiteiten Transparent Tribe cybercriminelen

De activiteiten van Transparent Tribe (ook bekend als PROJECTM en MYTHIC LEOPARD) kunnen worden getraceerd tot 2013; Kaspersky volgt de groep sinds 2016. Terwijl de tactieken en technieken van de groep door de jaren heen consistent zijn gebleven, laten onderzoek zien dat de groep voortdurend nieuwe programma's heeft gecreëerd voor specifieke campagnes.

Beheer microfoon apparaat

De favoriete methode van de groep gaat via kwaadaardige documenten met een ingesloten macro. De belangrijkste malware is een aangepaste .NET RAT - algemeen bekend als Crimson RAT. Deze tool is samengesteld uit verschillende componenten, waardoor de aanvaller meerdere activiteiten kan uitvoeren op geïnfecteerde machines. Van het beheren van externe bestandssystemen en het vastleggen van schermafbeeldingen, tot het uitvoeren van audiobewaking met behulp van microfoon apparaten, het opnemen van videostromen van webcams en het stelen van bestanden van verwijderbare media.

Malware continue in ontwikkeling

Tijdens het onderzoeken van de activiteiten van de groep hebben onderzoekers een .NET-bestand gespot dat werd herkend als Crimson RAT. Dieper onderzoek toonde echter aan, dat het om een nieuwe server-side Crimson RAT-component ging, die door de aanvallers werd gebruikt om geïnfecteerde machines te beheren. Het is in twee versies gecompileerd in 2017, 2018 en 2019, wat aangeeft dat deze software nog steeds in ontwikkeling is en dat de APT-groep werkt aan manieren om het te verbeteren.
Met de bijgewerkte lijst van componenten die door Transparent Tribe worden gebruikt, konden de onderzoekers de ontwikkeling van de groep observeren, zoals de manier waarop zij haar activiteiten heeft opgevoerd, massale infectiecampagnes heeft gestart, nieuwe instrumenten heeft ontwikkeld en haar aandacht voor Afghanistan heeft vergroot.

Onderzoeksresultaten

Over het geheel genomen heeft Kaspersky, rekening houdend met alle componenten die tussen juni 2019 en juni 2020 zijn gedetecteerd, 1.093 doelstellingen in 27 landen gevonden. De meest getroffen landen zijn Afghanistan, Pakistan, India, Iran en Duitsland.

"Ons onderzoek toont aan dat Transparent Tribe nog steeds veel activiteiten ontplooit tegen meerdere doelwitten. Gedurende de laatste 12 maanden hebben we een zeer brede campagne tegen militaire en diplomatieke doelen waargenomen, waarbij we gebruik hebben gemaakt van een grote infrastructuur ter ondersteuning van haar operaties en voortdurende verbeteringen in haar arsenaal. De groep blijft investeren in zijn belangrijkste RAT, Crimson, om inlichtingenactiviteiten uit te voeren en gevoelige doelwitten te bespioneren. We verwachten geen vertraging van deze groep in de nabije toekomst en we zullen de activiteiten van de groep blijven volgen,” zegt Giampaolo Dedola, security expert bij Kaspersky.

Bron: kaspersky.nl

Transparent Tribe Evolution Analysis Part 1
PDF – 1.3 MB 41 downloads

«   »