Η ομάδα Transparent Tribe συμμετέχει σε εκστρατείες κατά κυβερνητικού και στρατιωτικού προσωπικού, αποκαλύπτοντας ένα νέο εργαλείο που έχει σχεδιαστεί για να μολύνει συσκευές USB και να εξαπλώνεται σε άλλα συστήματα.
Η προηγμένη ομάδα APT, που έχει ερευνηθεί στο παρελθόν από το Proofpoint (.PDF), λειτουργεί από τουλάχιστον το 2013 και έχει συνδεθεί προηγουμένως με επιθέσεις εναντίον της ινδικής κυβέρνησης και του στρατού.
Πρόσφατα, η APT έχει στραφεί στο Αφγανιστάν, ωστόσο, οι ερευνητές έχουν τεκμηριώσει την παρουσία του σε περίπου 30 Countries.
Επίσης γνωστή ως PROJECTM και MYTHIC LEOPARD, η ομάδα Transparent Tribe περιγράφεται ως μια «παραγωγική» ομάδα που συμμετέχει σε «μαζικές εκστρατείες κατασκοπείας».
Η Transparent Tribe επικεντρώνεται στην παρακολούθηση και την κατασκοπεία, και για να επιτύχει αυτούς τους σκοπούς, η ομάδα εξελίσσει συνεχώς το κιτ tools της ανάλογα με τον επιδιωκόμενο στόχο, δήλωσε η Kaspersky σε δημοσίευση στο blog της την Πέμπτη.
Η αλυσίδα επίθεσης ξεκινά με έναν κλασσικό τρόπο, μέσω phishing email. Τα ψευδή μηνύματα αποστέλλονται μαζί με κακόβουλα Documents of Microsoft Office που περιέχουν μια ενσωματωμένη μακροεντολή που αναπτύσσει το κύριο payload της ομάδας, το Crimson Remote Access Trojan (RAT).
Εάν ένα θύμα ενεργοποιήσει τις μακροεντολές, το προσαρμοσμένο .NET Trojan ξεκινά και εκτελεί μια ποικιλία λειτουργιών, συμπεριλαμβανομένης της σύνδεσης σε έναν command-and-control (C2) server για αποβολή data και απομακρυσμένες ενημερώσεις malware, κλοπή αρχείων, λήψη screenshot και παραβίαση μικροφώνων και κάμερας web για παρακολούθηση ήχου και βίντεο.
Η Kaspersky λέει ότι το Trojan είναι επίσης σε θέση να κλέψει Archives από αφαιρούμενα μέσα, να καταγράψει κλειδιά και να κλέψει credentials που είναι αποθηκευμένα σε προγράμματα περιήγησης.
Το Trojan διατίθεται σε δύο εκδόσεις που έχουν κυκλοφορήσει το 2017, το 2018 και στο τέλος του 2019, υποδηλώνοντας ότι το malware εξακολουθεί να βρίσκεται σε εξέλιξη.
Η ομάδα Transparent Tribe χρησιμοποιεί επίσης ένα άλλο malware .NET και ένα Trojan που ονομάζεται Peppy, όμως ένα νέο εργαλείο επίθεσης USB παρουσιάζει ιδιαίτερο ενδιαφέρον.
Το USBWorm αποτελείται από δύο βασικά components, ένα κλέφτη αρχείων για αφαιρούμενους drives και μια δυνατότητα worm για μετάβαση σε νέα, ευάλωτα μηχανήματα.
Εάν μια μονάδα USB είναι συνδεδεμένη σε έναν μολυσμένο υπολογιστή, ένα αντίγραφο του Trojan εγκαθίσταται αθόρυβα στον αφαιρούμενο drive. Το malware θα εμφανίσει όλα τα directories σε έναν drive και στη συνέχεια ένα αντίγραφο του Trojan θα αποθηκευτεί στο root drive directory. Το χαρακτηριστικό του directory στη συνέχεια αλλάζει σε “κρυφό” και χρησιμοποιείται ένα ψεύτικο Windows εικονίδιο για να παρασύρει τα θύματα να κάνουν κλικ και να εκτελέσουν το payload όταν προσπαθούν να έχουν πρόσβαση σε directories.
“Αυτό έχει ως αποτέλεσμα την απόκρυψη και την αντικατάσταση όλων των πραγματικών directories με ένα αντίγραφο του malware χρησιμοποιώντας το ίδιο όνομα του directory”, σημειώνουν οι ερευνητές.
Πάνω από 200 δείγματα components της Transparent Tribe Crimson εντοπίστηκαν μεταξύ του Ιουνίου 2019 και του Ιουνίου 2020.
“Κατά τους τελευταίους 12 μήνες, παρατηρήσαμε μια ευρεία εκστρατεία εναντίον στρατιωτικών και διπλωματικών στόχων”, σχολίασε ο ερευνητής της Kaspersky Giampaolo Dedola. “Δεν περιμένουμε επιβράδυνση της δραστηριότητας από αυτήν την ομάδα στο εγγύς μέλλον.”
