Campanha de espionagem em andamento contra militares e governos
O grupo adicionou um console de gerenciamento e uma função de worming USB ao seu malware principal, o Crimson RAT.
O grupo da APT Transparent Tribe está montando uma campanha contínua de ciberespionagem, disseram os pesquisadores, que visa alvos militares e diplomáticos em todo o mundo. O esforço apresenta um worm que pode se propagar de máquina para máquina enquanto rouba arquivos de unidades removíveis USB.
Transparent Tribe (também conhecido como ProjectM e Mythic Leopard), é um grupo prolífico que está ativo [PDF] desde pelo menos 2013, especializado em espionagem generalizada. Na campanha mais recente, a Kaspersky observou spearphishing e-mails com documentos mal-intencionados do Microsoft Office contendo um cavalo de Troia de acesso remoto (RAT) personalizado chamado Crimson. Até agora, os pesquisadores encontraram 1.093 alvos em 27 países, sendo os mais afetados Afeganistão, Alemanha, Índia, Irã e Paquistão.
O Crimson é executado por meio de macros incorporadas, de acordo com uma pesquisa da Kaspersky divulgada na quinta-feira . É um .NET RAT que possui uma série de recursos maliciosos, incluindo gerenciamento de sistemas de arquivos remotos, captura de screenshots, keylogging, condução de vigilância de áudio usando microfones embutidos, gravação de streams de vídeo de webcams, roubo de senhas e arquivos.
A Transparent Tribe atualizou o Crimson RAT para esta campanha, disse a empresa, adicionando um componente do lado do servidor usado para gerenciar máquinas clientes infectadas, bem como um novo componente USBWorm desenvolvido para roubar arquivos de unidades removíveis, espalhando-se pelos sistemas ao infectar mídias removíveis e baixar e executar uma versão thin client do Crimson de um servidor remoto.
“Vindo em duas versões, foi compilado em 2017, 2018 e 2019, indicando que esse software ainda está em desenvolvimento e o grupo APT está trabalhando em maneiras de melhorá-lo”, afirma a pesquisa.
Interface de gerenciamento do lado do servidor
O componente de servidor oferece aos invasores um painel de controle útil, que fornece uma lista de máquinas infectadas e mostra informações básicas sobre os sistemas das vítimas, bem como informações de geolocalização recuperadas de um site legítimo usando um endereço IP remoto como entrada.
“Na parte superior, há uma barra de ferramentas que pode ser usada para gerenciar o servidor ou iniciar algumas ações no bot selecionado”, disse Kaspersky. “Na parte inferior, há um console de saída com uma lista de ações realizadas pelo servidor em segundo plano. Ele exibirá, por exemplo, informações sobre comandos recebidos e enviados. ”
O painel do bot é uma interface com 12 guias, que podem ser usadas para gerenciar um sistema remoto e coletar informações. As guias combinam com vários componentes do Crimson – por exemplo, existem guias para explorar o sistema de arquivos remoto; download, upload e exclusão de arquivos; keylogging; e monitorar a tela remota e verificar o que o usuário está fazendo em seu sistema.
Na guia da tela remota, “o invasor pode recuperar uma única captura de tela ou iniciar um loop que força o bot a enviar capturas de tela continuamente para o servidor, gerando uma espécie de transmissão ao vivo. O atacante também pode configurar o componente RAT para gravar as imagens no sistema remoto ”, avalia a análise.
Componente USBWorm
O componente USBWorm recém-adicionado no Crimson RAT se comporta como um downloader, infectador e ladrão de USB.
“Quando iniciado, ele verifica se o caminho de execução é aquele especificado na configuração embutida e se o sistema já está infectado com um componente cliente Crimson”, explicaram os pesquisadores da Kaspersky. “Se essas condições forem atendidas, ele começará a monitorar a mídia removível e, para cada uma delas, o malware tentará infectar o dispositivo e roubar os arquivos de interesse.”
O procedimento de infecção para USBWorm começa com a catalogação de todos os diretórios no dispositivo da vítima, os detalhes da análise. O malware então cria uma cópia de si mesmo no diretório raiz da unidade para cada um, usando o mesmo nome de diretório. Ele altera o atributo dos diretórios legítimos para “oculto” – o que resulta na substituição de todos os diretórios reais por uma cópia do malware usando o mesmo nome de diretório. USBWorm também usa um ícone que imita um diretório do Windows, enganando o usuário para que ele execute o malware ao tentar acessá-lo.
“Este truque simples funciona muito bem em instalações padrão do Microsoft Windows, onde as extensões de arquivo estão ocultas e os arquivos ocultos não são visíveis”, de acordo com a Kaspersky. “A vítima executará o worm toda vez que tentar acessar um diretório. Além disso, o malware não exclui os diretórios reais e executa ‘explorer.exe’ quando iniciado, fornecendo o caminho do diretório oculto como argumento. O comando abrirá a janela do Explorer conforme esperado pelo usuário. ”
O procedimento de roubo de dados lista todos os arquivos armazenados no dispositivo e copia aqueles com uma extensão correspondente a uma lista predefinida: .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pps, .ppsx e. TXT.
“Nossa investigação indica que o Transparent Tribe continua executando uma grande quantidade de atividades contra vários alvos”, disse Giampaolo Dedola, especialista em segurança da Kaspersky, em um comunicado à mídia. “Nos últimos 12 meses, observamos uma campanha muito ampla contra alvos militares e diplomáticos, utilizando uma grande infraestrutura de apoio às suas operações e melhorias contínuas em seu arsenal. O grupo continua investindo em seu principal RAT, o Crimson, para realizar atividades de inteligência e espionar alvos sensíveis. Não esperamos nenhuma desaceleração deste grupo no futuro próximo e continuaremos monitorando suas atividades ”.
Fonte: https://threatpost.com/transparent-tribe-ongoing-spy-campaign-military-government/158515/
