Transparent Tribe is een groep cybercriminelen, bekend om zijn massale spionagecampagnes. In januari 2019 startte Kaspersky een onderzoek naar de verspreiding van de Crimson Remote Access Trojan (RAT). In een jaar tijd heeft Kasperksy ruim 1000 doelwitten in bijna 30 landen gevonden. Het onderzoek ontdekte daarnaast nieuwe, nog onbekende componenten van de Crimson RAT.
Dit is één van de bevindingen uit het eerste deel van het onderzoek, gepubliceerd door Kaspersky. De activiteiten van Transparent Tribe (ook bekend als PROJECTM en MYTHIC LEOPARD) kunnen worden getraceerd tot 2013; Kaspersky volgt de groep sinds 2016. Terwijl de tactieken en technieken van de groep door de jaren heen consistent zijn gebleven, laat Kaspersky's onderzoek zien dat de groep voortdurend nieuwe programma's heeft gecreëerd voor specifieke campagnes.
De favoriete methode van de groep gaat via kwaadaardige documenten met een ingesloten macro. De belangrijkste malware is een aangepaste .NET RAT - algemeen bekend als Crimson RAT. Deze tool is samengesteld uit verschillende componenten, waardoor de aanvaller meerdere activiteiten kan uitvoeren op geïnfecteerde machines. Van het beheren van externe bestandssystemen en het vastleggen van schermafbeeldingen, tot het uitvoeren van audiobewaking met behulp van microfoonapparaten, het opnemen van videostromen van webcams en het stelen van bestanden van verwijderbare media.
Tijdens het onderzoeken van de activiteiten van de groep heeft Kaspersky een .NET-bestand gespot dat werd herkend als Crimson RAT. Dieper onderzoek toonde echter aan, dat het om een nieuwe server-side Crimson RAT-component ging, die door de aanvallers werd gebruikt om geïnfecteerde machines te beheren. Het is in twee versies gecompileerd in 2017, 2018 en 2019, wat aangeeft dat deze software nog steeds in ontwikkeling is en dat de APT-groep werkt aan manieren om het te verbeteren.
Met de bijgewerkte lijst van componenten die door Transparent Tribe worden gebruikt, kon Kaspersky de ontwikkeling van de groep observeren, zoals de manier waarop zij haar activiteiten heeft opgevoerd, massale infectiecampagnes heeft gestart, nieuwe instrumenten heeft ontwikkeld en haar aandacht voor Afghanistan heeft vergroot.
Over het geheel genomen heeft Kaspersky, rekening houdend met alle componenten die tussen juni 2019 en juni 2020 zijn gedetecteerd, 1.093 doelstellingen in 27 landen gevonden. De meest getroffen landen zijn Afghanistan, Pakistan, India, Iran en Duitsland.
Top 5 landen die doelwit waren tussen juni 2019 en juni 2020
"Ons onderzoek toont aan dat Transparent Tribe nog steeds veel activiteiten ontplooit tegen meerdere doelwitten. Gedurende de laatste 12 maanden hebben we een zeer brede campagne tegen militaire en diplomatieke doelen waargenomen, waarbij we gebruik hebben gemaakt van een grote infrastructuur ter ondersteuning van haar operaties en voortdurende verbeteringen in haar arsenaal. De groep blijft investeren in zijn belangrijkste RAT, Crimson, om inlichtingenactiviteiten uit te voeren en gevoelige doelwitten te bespioneren. We verwachten geen vertraging van deze groep in de nabije toekomst en we zullen de activiteiten van de groep blijven volgen,” zegt Giampaolo Dedola, security expert bij Kaspersky.
Gedetailleerde informatie over compromisindicatoren met betrekking tot deze groep, inclusief bestandshashes en C2-servers, kan worden geraadpleegd op Kaspersky Threat Intelligence Portal.
Om veilig te blijven voor de dreiging raadt Kaspersky aan de volgende veiligheidsmaatregelen te nemen:
Meer informatie is beschikbaar in het verslag van Kaspersky op Securelist.