Transparent Tribe шпионит за сотрудниками государственных и военных организаций по всему миру – «Лаборатория Касперского»
С июня 2019 года по июнь 2020 года группа Transparent Tribe, использующая для проведения кампаний кибершпионажа троянец удалённого доступа Crimson, атаковала более тысячи целей в 27 странах. В основном жертвы располагались в Афганистане, Пакистане, Индии, Иране и Германии.
«Лаборатория Касперского» выявила, что атаки начинались с распространения вредоносных документов Microsoft Office в фишинговых письмах. Чаще всего Transparent Tribe использует зловред .NET RAT, или Crimson. Это троянец удалённого доступа, который состоит из различных компонентов и позволяет атакующим производить на заражённых устройствах многочисленные действия: манипулировать файлами на дисках, создавать скриншоты, подслушивать и подглядывать через встроенные в устройстве микрофоны и камеры, а также красть файлы со съёмных носителей.
Группа Transparent Tribe также известна как PROJECTM и MYTHIC LEOPARD. Несмотря на то, что тактики и техники группы остаются неизменными в течение многих лет, атакующие постоянно совершенствуют свой основной инструмент: эксперты находят новые, ранее неизвестные компоненты троянца Crimson.
«Кампания группы Transparent Tribe направлена на военных и дипломатов, в рамках которой для проведения вредоносных операций и совершенствования инструментов используется обширная инфраструктура. Группа продолжает инвестировать в свой главный инструмент, чтобы получать с его помощью конфиденциальные данные и шпионить за частными компаниями и государственными организациями. Мы полагаем, что активность Transparent Tribe останется столь же высокой, и будем продолжать следить за её деятельностью»,- отмечают эксперты компании.
Чтобы обезопасить инфраструктуру компании от целевых атак, они рекомендуют предоставлять сотрудникам по информационной безопасности доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, и регулярно проводить для всех сотрудников тренинги по информационной безопасности. Для защиты конечных устройств, своевременного расследования и реагирования на инциденты рекомендуется внедрить решение Endpoint Detection and Response и решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии.