Kaspersky onderzoekt Transparent Tribe: productieve spionagecampagne via Crimson RAT nog vol in ontwikkeling

Brede campagne tegen militaire en diplomatieke doelen waargenomen, Afghanistan en India hardst getroffen landen

| Kaspersky | 3 min | 20 augustus 2020 12:52
Copyright: Michael Geiger op Unsplash
Transparent Tribe is een groep cybercriminelen, bekend om zijn massale spionagecampagnes. In januari 2019 startte Kaspersky een onderzoek naar de verspreiding van de Crimson Remote Access Trojan (RAT). In een jaar tijd heeft Kasperksy ruim 1000 doelwitten in bijna 30 landen gevonden. Het onderzoek ontdekte daarnaast nieuwe, nog onbekende componenten van de Crimson RAT. Dit is een van de bevindingen uit het eerste deel van het onderzoek, gepubliceerd door Kaspersky.

De activiteiten van Transparent Tribe (ook bekend als PROJECTM en MYTHIC LEOPARD) kunnen worden getraceerd tot 2013; Kaspersky volgt de groep sinds 2016. Terwijl de tactieken en technieken van de groep door de jaren heen consistent zijn gebleven, laat Kaspersky's onderzoek zien dat de groep voortdurend nieuwe programma's heeft gecreëerd voor specifieke campagnes.

Crimson RAT: een veelzijdige aanvaller

De favoriete methode van de groep gaat via kwaadaardige documenten met een ingesloten macro. De belangrijkste malware is een aangepaste .NET RAT - algemeen bekend als Crimson RAT. Deze tool is samengesteld uit verschillende componenten, waardoor de aanvaller meerdere activiteiten kan uitvoeren op geïnfecteerde machines. Van het beheren van externe bestandssystemen en het vastleggen van schermafbeeldingen, tot het uitvoeren van audiobewaking met behulp van microfoonapparaten, het opnemen van videostromen van webcams en het stelen van bestanden van verwijderbare media.

Kwaadaardige software in ontwikkeling

Tijdens het onderzoeken van de activiteiten van de groep heeft Kaspersky een .NET-bestand gespot dat werd herkend als Crimson RAT. Dieper onderzoek toonde echter aan, dat het om een nieuwe server-side Crimson RAT-component ging, die door de aanvallers werd gebruikt om geïnfecteerde machines te beheren. Het is in twee versies gecompileerd in 2017, 2018 en 2019, wat aangeeft dat deze software nog steeds in ontwikkeling is en dat de APT-groep werkt aan manieren om het te verbeteren.

Met de bijgewerkte lijst van componenten die door Transparent Tribe worden gebruikt, kon Kaspersky de ontwikkeling van de groep observeren, zoals de manier waarop zij haar activiteiten heeft opgevoerd, massale infectiecampagnes heeft gestart, nieuwe instrumenten heeft ontwikkeld en haar aandacht voor Afghanistan heeft vergroot.

Onderzoeksresultaten

Over het geheel genomen heeft Kaspersky, rekening houdend met alle componenten die tussen juni 2019 en juni 2020 zijn gedetecteerd, 1.093 doelstellingen in 27 landen gevonden. De meest getroffen landen zijn Afghanistan, Pakistan, India, Iran en Duitsland.

"Ons onderzoek toont aan dat Transparent Tribe nog steeds veel activiteiten ontplooit tegen meerdere doelwitten. Gedurende de laatste 12 maanden hebben we een zeer brede campagne tegen militaire en diplomatieke doelen waargenomen, waarbij we gebruik hebben gemaakt van een grote infrastructuur ter ondersteuning van haar operaties en voortdurende verbeteringen in haar arsenaal. De groep blijft investeren in zijn belangrijkste RAT, Crimson, om inlichtingenactiviteiten uit te voeren en gevoelige doelwitten te bespioneren. We verwachten geen vertraging van deze groep in de nabije toekomst en we zullen de activiteiten van de groep blijven volgen,” zegt Giampaolo Dedola, security expert bij Kaspersky.

Gedetailleerde informatie over compromisindicatoren met betrekking tot deze groep, inclusief bestandshashes en C2-servers, kan worden geraadpleegd op Kaspersky Threat Intelligence Portal.

Om veilig te blijven voor de dreiging raadt Kaspersky aan de volgende veiligheidsmaatregelen te nemen:
  • Geef het SOC-team toegang tot de nieuwste bedreigingsinformatie (TI). Het Kaspersky Threat Intelligence Portal is een enkel toegangspunt voor de TI van het bedrijf en biedt data en inzichten over cyberaanvallen die Kaspersky gedurende meer dan 20 jaar heeft verzameld.
  • Implementeer EDR-oplossingen voor detectie op eindpuntniveau, onderzoek en tijdige sanering van incidenten, zoals Kaspersky Endpoint Detection and Response.
  • Naast het aannemen van essentiële eindpuntbescherming, moet een corporate-grade beveiligingsoplossing worden geïmplementeerd die geavanceerde bedreigingen op netwerkniveau in een vroeg stadium detecteert, zoals Kaspersky Anti Targeted Attack Platform.
  • Geef je personeel een basistraining cybersecurity, want veel gerichte aanvallen beginnen met phishing of andere social engineering technieken. Voer een gesimuleerde phishingaanval uit om ervoor te zorgen dat ze weten hoe ze phishing-e-mails moeten onderscheiden.
Zie voor meer informatie het volledige verslag op Securelist.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Kaspersky

Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.