Wouter Hoeffnagel - 21 augustus 2020

Kaspersky waarschuwt voor actieve spionagecampagne

Transparent Tribe is een groep cybercriminelen, bekend om zijn massale spionagecampagnes. In januari 2019 startte Kaspersky een onderzoek naar de verspreiding van de Crimson Remote Access Trojan (RAT). In een jaar tijd heeft Kasperksy ruim 1000 doelwitten in bijna 30 landen gevonden. Het onderzoek ontdekte daarnaast nieuwe, nog onbekende componenten van de Crimson RAT.

Dit is één van de bevindingen uit het eerste deel van het onderzoek, gepubliceerd door Kaspersky. De activiteiten van Transparent Tribe (ook bekend als PROJECTM en MYTHIC LEOPARD) kunnen worden getraceerd tot 2013; Kaspersky volgt de groep sinds 2016. Terwijl de tactieken en technieken van de groep door de jaren heen consistent zijn gebleven, laat Kaspersky's onderzoek zien dat de groep voortdurend nieuwe programma's heeft gecreëerd voor specifieke campagnes.

Crimson RAT

De favoriete methode van de groep gaat via kwaadaardige documenten met een ingesloten macro. De belangrijkste malware is een aangepaste .NET RAT - algemeen bekend als Crimson RAT. Deze tool is samengesteld uit verschillende componenten, waardoor de aanvaller meerdere activiteiten kan uitvoeren op geïnfecteerde machines. Van het beheren van externe bestandssystemen en het vastleggen van schermafbeeldingen, tot het uitvoeren van audiobewaking met behulp van microfoonapparaten, het opnemen van videostromen van webcams en het stelen van bestanden van verwijderbare media.

Tijdens het onderzoeken van de activiteiten van de groep heeft Kaspersky een .NET-bestand gespot dat werd herkend als Crimson RAT. Dieper onderzoek toonde echter aan, dat het om een nieuwe server-side Crimson RAT-component ging, die door de aanvallers werd gebruikt om geïnfecteerde machines te beheren. Het is in twee versies gecompileerd in 2017, 2018 en 2019, wat aangeeft dat deze software nog steeds in ontwikkeling is en dat de APT-groep werkt aan manieren om het te verbeteren.

Met de bijgewerkte lijst van componenten die door Transparent Tribe worden gebruikt, kon Kaspersky de ontwikkeling van de groep observeren, zoals de manier waarop zij haar activiteiten heeft opgevoerd, massale infectiecampagnes heeft gestart, nieuwe instrumenten heeft ontwikkeld en haar aandacht voor Afghanistan heeft vergroot.

Ruim duizend doelen in 27 landen

Over het geheel genomen heeft Kaspersky, rekening houdend met alle componenten die tussen juni 2019 en juni 2020 zijn gedetecteerd, 1.093 doelstellingen in 27 landen gevonden. De meest getroffen landen zijn Afghanistan, Pakistan, India, Iran en Duitsland.

kaspersky-crimson-rat-2020.png

Top 5 landen die doelwit waren tussen juni 2019 en juni 2020

"Ons onderzoek toont aan dat Transparent Tribe nog steeds veel activiteiten ontplooit tegen meerdere doelwitten. Gedurende de laatste 12 maanden hebben we een zeer brede campagne tegen militaire en diplomatieke doelen waargenomen, waarbij we gebruik hebben gemaakt van een grote infrastructuur ter ondersteuning van haar operaties en voortdurende verbeteringen in haar arsenaal. De groep blijft investeren in zijn belangrijkste RAT, Crimson, om inlichtingenactiviteiten uit te voeren en gevoelige doelwitten te bespioneren. We verwachten geen vertraging van deze groep in de nabije toekomst en we zullen de activiteiten van de groep blijven volgen,” zegt Giampaolo Dedola, security expert bij Kaspersky.

Gedetailleerde informatie over compromisindicatoren met betrekking tot deze groep, inclusief bestandshashes en C2-servers, kan worden geraadpleegd op Kaspersky Threat Intelligence Portal.

Maatregelen

Om veilig te blijven voor de dreiging raadt Kaspersky aan de volgende veiligheidsmaatregelen te nemen:

  • Geef het SOC-team toegang tot de nieuwste bedreigingsinformatie (Threat Information/TI). Het Kaspersky Threat Intelligence Portal is een enkel toegangspunt voor de TI van het bedrijf en biedt data en inzichten over cyberaanvallen die Kaspersky gedurende meer dan 20 jaar heeft verzameld.
  • Implementeer EDR-oplossingen voor detectie op eindpuntniveau, onderzoek en tijdige sanering van incidenten. Kaspersky levert op dit gebied Kaspersky Endpoint Detection and Response.
  • Naast het aannemen van essentiële eindpuntbescherming, moet een corporate-grade beveiligingsoplossing worden geïmplementeerd die geavanceerde bedreigingen op netwerkniveau in een vroeg stadium detecteert. Als voorbeeld noemt het bedrijf Kaspersky Anti Targeted Attack Platform.
  • Geef je personeel een basistraining cybersecurity, want veel gerichte aanvallen beginnen met phishing of andere social engineering technieken. Voer een gesimuleerde phishingaanval uit om ervoor te zorgen dat ze weten hoe ze phishing-e-mails moeten onderscheiden.

Meer informatie is beschikbaar in het verslag van Kaspersky op Securelist.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024