V januári 2019 spustila spoločnosť Kaspersky vyšetrovanie prebiehajúcej kyberkampane z dielne kyberzločineckej skupiny známej ako Transparent Tribe, ktorej cieľom bolo distribuovať malvér Crimson RAT – trojan umožňujúci vzdialený prístup (Remote Access Trojan). Útoky odštartovali zasielaním škodlivých dokumentov balíka Microsoft Office obetiam v rámci emailov s využitím spear-phishingu (cielenie na úzku skupinu potenciálnych obetí). Len počas jedného roka odhalili odborníci viac než 1000 cieľov v takmer 30 krajinách. Vyšetrovanie tiež odhalilo nové, doteraz neznáme komponenty trojana Crimson RAT, čo naznačuje, že sa stále pracuje na jeho vývoji. Tieto zistenia vyplývajú z prvej fázy vyšetrovania, ktorú zverejnila spoločnosť Kaspersky.
Transparent Tribe (tiež známy ako PROJECTM a MYTHIC LEOPARD) je veľmi aktívnou a plodnou skupinou, ktorá je v odvetví kybernetickej bezpečnosti známa svojimi rozsiahlymi špionážnymi kampaňami. Jej činnosť sa dá vystopovať až do roku 2013, pričom spoločnosť Kaspersky sleduje jej aktivity od roku 2016.
Jej najobľúbenejšou metódou infikovania sú škodlivé dokumenty s vloženým makrom. Hlavný malvér je prispôsobený .NET RAT – známy pod názvom Crimson RAT. Tento nástroj sa skladá z rôznych komponentov, ktoré útočníkovi umožňujú vykonávať viaceré aktivity v infikovaných zariadeniach – od správy systémov vzdialených súborov a zachytávania snímok obrazovky až po sledovanie a zachytenie zvuku pomocou mikrofónov v zariadení ako aj nahrávanie videostreamov s využitím webkamier a kradnutie súborov z dátových nosičov či iných pripojiteľných zariadení.
Aj keď taktika a techniky skupiny zostali v priebehu rokov konzistentné, analýza spoločnosti Kaspersky ukázala, že skupina neustále vytvára nové programy pre špecifické kampane. Pri skúmaní aktivít skupiny v minulom roku si analytici spoločnosti Kaspersky všimli .NET súbor, ktorý riesšenia spoločnosti identifikovali ako Crimson RAT. Podrobnejšie vyšetrovanie však ukázalo, že to bolo niečo iné – nový komponent Crimson RAT na strane servera používaný útočníkmi na správu infikovaných zariadení. V dvoch verziách bol zostavený v rokoch 2017, 2018 a 2019, čo naznačuje, že tento softvér je stále vo vývoji a táto APT skupina vymýšľa spôsoby, ako ho ešte vylepšiť.
Na základe aktualizovaného zoznamu komponentov, ktoré používa skupina Transparent Tribe bola spoločnosť Kaspersky schopná sledovať vývoj tejto skupiny ako aj zintenzívnenie jej aktivít, vrátane spustenia masívnej kampane zameranej na infikovanie zariadení či vývoja nových nástrojov alebo zvýšenej pozornosti zameranej na Afganistan.
Celkovo vzhľadom na všetky komponenty, ktoré boli odhalené v období od júna 2019 do júna 2020 identifikovali experti spoločnosti Kaspersky 1093 cieľov v 27 krajinách. Najviac zasiahnutými krajinami sú Afganistan, Pakistan, India, Irán a Nemecko.
TOP 5 cieľových krajín od júna 2019 do júna 2020, z pohľadu používateľov
„Naše vyšetrovanie naznačuje, že skupina Transparent Tribe pokračuje vo viacerých aktivitách zameraných na rozličné ciele. Počas uplynulých 12 mesiacov sme pozorovali rozsiahlu kampaň proti vojenským a diplomatickým cieľom s použitím veľkej infraštruktúry na podporu svojich operácií a neustále zdokonaľovanie svojho arzenálu. Skupina naďalej investuje do svojho malvéru Crimson RAT na realizáciu spravodajských aktivít a špionáže na citlivé ciele. V blízkej budúcnosti od tejto skupiny neočakávame žiadne spomalenie a budeme pokračovať v monitorovaní jej aktivít,“ vraví Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Podrobné informácie o indikátoroch kompromitácie v súvislosti s touto skupinou, vrátane hash súborov a C2 serverov sú dostupné na stránke Kaspersky Threat Intelligence Portal.
Spoločnosť Kaspersky odporúča vykonať nasledovné bezpečnostné opatrenia, aby ste pred hrozbou zostali v bezpečí:
- Poskytnite svojmu SOC tímu (Security Operations Centre – centrum, ktoré zabezpečuje monitorovanie a identifikáciu hrozieb) prístup k najnovším poznatkom v oblasti hrozieb (Threat Intelligence). Portál Kaspersky Threat Intelligence sústreďuje na jednom mieste všetky informácie o kybernetických hrozbách, ktoré spoločnosť Kaspersky nadobudla za vyše 20 rokov svojej pôsobnosti.
- Na detekciu, preskúmanie a včasnú nápravu incidentov na úrovni koncových bodov, implementujte EDR riešenia, ako napríklad Kaspersky Endpoint Security Detection and Response.
- Okrem nevyhnutnej ochrany koncových bodov implementujte bezpečnostné riešenie určené pre podniky, ktoré dokáže detegovať pokročilé hrozby na úrovni siete v ich ranom štádiu, napríklad platformu Kaspersky Anti Targeted Attack Platform.
- Poskytnite svojim zamestnancom základné školenie zamerané na kybernetickú bezpečnosť, pretože mnohé z cielených útokov začínajú phishingom alebo inými technikami sociálneho inžinierstva. Zrealizujte simulovaný phishingový útok, aby ste sa uistili, že vedia ako rozpoznať phishingové e-maily.
Celú správu si môžete prečítať na stránke Securelist.com.
