Transparent Tribe atacă diplomați și militari din 27 de state

Atacatorii folosesc un instrument special conceput pentru a infecta dispozitivele USB.

Surgical strikes: Pakistani hackers attack over 7,000 Indian websites

Gruparea de criminalitate cibernetică Transparent Tribe (aka PROJECTM și MYTHIC LEOPARD) a lansat o serie de campanii malițioase împotriva diplomaților și personalului militar din 27 de țări.

Distribuția atacurilor Transparent Tribe

Potrivit experților de la Kaspersky Lab, majoritatea victimelor sunt localizate în India, Afganistan, Pakistan, Iran și Germania. Atacatorii s-au înarmat cu un nou instrument destinat să infecteze dispozitivele USB și să răspândească malware în sistemele vizate.

Atacul în lanț începe cu activități de phishing personalizat. Mesajele frauduloase sunt trimise cu documente Microsoft Office malițioase care conțin trojanul Crimson Remote Acces.

Trojanul Crimson are numeroase funcții, inclusiv conectarea la serverul C&C pentru furtul de date, actualizarea malware-ul de la distanță, capturi de ecran și compromiterea microfoanelor și a camerelor web pentru supraveghere audio și video. Malware-ul Crimson Remote Acces este capabil să fure fișiere de pe suporturi portabile, să efectueze keylloging și să fure credențialele din browser.

Gruparea Transparent Tribe folosește și alte programe malițioase, cum ar fi Crimson pe bază .NET și Peppy pe bază Python. În atacurile recente, infractorii au încorporat o nouă funcționalitate în trojanul Crimson, numită USBWorm. Aceasta are două componente principale: un instrument pentru furtul fișierelor de pe unități portabile și o funcție de vierme pentru infectarea altor dispozitive vulnerabile. Dacă o unitate USB este conectată la computerul infectat, o copie a trojanului este instalată invizibil pe unitatea detașabilă. Programul malware salvează o copie a trojanului în directorul de bază al discului. O pictogramă Windows falsă este folosită pentru a atrage userii să dea click și să execute viermele adus pe USB.

Topul infectărilor pe state

Conexiunea pakistaneză

“Deși nu putem fi 100% siguri de entitatea care se află în spatele operațiunii, există anumite elemente care indică cu mare probabilitate Pakistanul. În primul rând, Armata indiană este cea vizată atât de versiunile Android cât și de cele pentru Windows ale acestui malware. Cele mai vechi servere C&C ale Crimson erau localizate în Pakistan, iar noile servere C&C par a fi administrate de cineva aflat tot în Pakistan. In majoritatea cazurilor, după ce le studiază vulnerabilitățile apelând la tehnici sofisticate de inginerie socială, operatorii Crimson trimit e-mailuri malițioase ofițerilor indieni de rang înalt cu scopul de a fura informații sensibile din calculatoarele și telefoanele acestora”, scriau specialiștii companiei de securitate cibernetică Trend Micro în 2016.

Leave a Reply

Your email address will not be published. Required fields are marked *