Seit Januar 2019 untersucht Kaspersky [1] eine laufende Kampagne der APT-Gruppe Transparent Tribe, die den Remote Access Trojaner (RAT) Crimson verbreitet.
- Deutschland unter den am stärksten betroffenen Ländern
- Bislang unbekannte Crimson RAT-Bestandteile entdeckt
- Kaspersky-Webcast zu Transparent Tribe am 26. August, 16 Uhr (Anmeldung: https://kas.pr/v1oj)
Seit Januar 2019 untersucht Kaspersky [1] eine laufende Kampagne der APT-Gruppe Transparent Tribe, die den Remote Access Trojaner (RAT) Crimson verbreitet. Die Angriffe begannen damit, dass schädliche Microsoft Office-Dokumente mit Hilfe von Spear-Phishing-E-Mails an die Opfer verschickt wurden. Innerhalb eines Jahres konnten die Forscher mehr als 1.000 Ziele in fast 30 Ländern identifizieren. Die Analyse des Trojaners Crimson offenbarte zudem neue, bisher unbekannte Bestandteile, was darauf hindeutet, dass dessen Entwicklungsprozess noch nicht abgeschlossen ist.
Transparent Tribe, auch bekannt als PROJECTM und MYTHIC LEOPARD, ist eine für ihre massiven Spionagekampagnen bekannte Gruppe. Ihre Aktivitäten lassen sich bis ins Jahr 2013 zurückverfolgen; Kaspersky beobachtet die Gruppe seit 2016.
Transparent Tribe ist dafür bekannt, über schädliche Dokumente mit einem eingebetteten Makro Geräte zu infizieren. Hierfür verwendet sie die benutzerdefinierte Malware.NET RAT – allgemein als Crimson RAT bekannt. Diese setzt sich aus verschiedenen Komponenten zusammen, die es dem Angreifer ermöglichen, auf infizierten Rechnern mehrere Aktivitäten durchzuführen – von der Verwaltung von Remote-Dateisystemen und der Aufnahme von Screenshots über die Audioüberwachung mit Mikrofongeräten, die Aufzeichnung von Video-Streams durch Webcams bis hin zum Diebstahl von Wechseldatenträger-Informationen.
Entwicklung neuer Programme für Kampagnen
Während die Taktiken und Techniken der Gruppe über die Jahre hinweg gleichgeblieben sind, zeigen Kaspersky-Analysen, dass Transparent Tribe dennoch ständig neue Programme für bestimmte Kampagnen entwickelt hat. Im Rahmen der Untersuchung ihrer Aktivitäten im vergangenen Jahr entdeckten die Experten eine .NET-Datei, die von den Kaspersky-Lösungen als Crimson RAT erkannt wurde. Eine genauere Prüfung hat jedoch gezeigt, dass es sich um etwas anderes handelte – eine neue server-seitige Crimson RAT-Komponente, die von den Angreifern zur Verwaltung infizierter Computer verwendet wird. Sie ist in zwei Versionen erhältlich und wurde in den Jahren 2017, 2018 und 2019 kompiliert. Dies weist darauf hin, dass sich diese Software noch in der Entwicklung befindet und die APT-Gruppe an Möglichkeiten für deren Optimierung arbeitet.
Mit einer aktualisierten Liste der von Transparent Tribe verwendeten Komponenten konnte Kaspersky die Entwicklung der Gruppe nachvollziehen und beobachten, wie sie ihre Aktivitäten intensivierte, massive Infektionskampagnen startete, neue Instrumente entwickelte und ihren Fokus auf Afghanistan verstärkte.
Top-5-Zielländer: Deutschland verstärkt im Visier
Insgesamt haben die Kaspersky-Forscher unter Berücksichtigung aller Komponenten, die zwischen Juni 2019 und Juni 2020 entdeckt wurden, 1.093 Ziele in 27 Ländern identifiziert. Neben Afghanistan, Pakistan, Indien und dem Iran gehört auch Deutschland zu den am stärksten betroffenen Ländern.
„Unsere Ergebnisse deuten darauf hin, dass Transparent Tribe weiterhin ein hohes Maß an Aktivitäten gegen mehrere Ziele betreibt“, kommentiert Giampaolo Dedola, Sicherheitsexperte bei Kaspersky. „Während der vergangenen zwölf Monate haben wir eine sehr breit angelegte Kampagne gegen militärische und diplomatische Ziele beobachtet. Dabei wurde eine weitreichende Infrastruktur zur Unterstützung der Operationen und kontinuierliche Verbesserung des eigenen technologischen Arsenals genutzt. Die Gruppe investiert weiterhin in Crimson, ihr wichtigste RAT, um nachrichtendienstliche Aktivitäten durchzuführen und sensible Ziele auszuspionieren. Wir erwarten in naher Zukunft keine Verlangsamung der Aktivitäten dieser Gruppe und werden diese weiterhin überwachen.“
Ausführliche Informationen über Indicators of Compromise (IoC) im Zusammenhang mit dieser Gruppe, einschließlich Datei-Hashes und C2-Server, sind auf dem Kaspersky Threat Intelligence Portal [2] abrufbar.
Kaspersky-Empfehlungen zum Schutz vor Bedrohungen durch Transparent Tribe
- Das Security Operations Center (SOC)-Team sollte stets Zugang zu den neuesten Threat Intelligence (TI)-Daten haben. Das Kaspersky Threat Intelligence Portal [2] bietet einen zentraler Zugriffspunkt auf die über zwanzigjährige TI des Unternehmens, inklusive Cyberangriffsdaten und weiterer Erkenntnisse.
- Durch die Implementierung von EDR-Lösungen wie Kaspersky Endpoint Detection and Response [3] können Vorfälle an den Endpoints rechtzeitig erkannt, untersucht und behoben werden.
- Als Ergänzung zum Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene wie die Kaspersky Anti Targeted Attack Platform [4] implementiert werden, die fortschrittliche Netzwerk-Bedrohungen frühzeitig erkennt.
- Die Schulung von Mitarbeitern [5] ist von besonderer Bedeutung, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen. Durch die Durchführung eines simulierten Phishing-Angriffs kann sichergestellt werden, dass die Belegschaft zwischen harmloser Korrespondenz und Phishing-E-Mails unterscheiden kann.
Die vollständige Analyse mit weiteren Informationen ist verfügbar unter https://securelist.com/transparent-tribe-part-1/98127/
Weitere Details und Informationen über die Aktivitäten dieser APT-Gruppe im kommenden, auf Englisch gehaltenen Webinar von Kaspersky: „GReAT Ideas. Powered by SAS: advancing on new fronts – tech, mercenaries and more”, am 26. August um 16 Uhr. Zur kostenfreien Anmeldung: https://kas.pr/v1oj
[1] https://securelist.com/transparent-tribe-part-1/98127/
[2] https://www.kaspersky.de/enterprise-security/threat-intelligence
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
[5] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
Nützliche Links:
- Kaspersky Threat Intelligence Portal: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
- Kaspersky Anti Targeted Attack Platform: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
- Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
Über Kaspersky
Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.com/de/
