2019年1月,卡巴斯基开始对一个被称为 Transparent Tribe 的组织发起的用来传播 Crimson 远程访问木马(RAT)的攻击行动进行调查。
这些攻击始于通过鱼叉式网络钓鱼电子邮件将恶意的Microsoft Office文档发送给受害者。仅仅一年时间,研究人员就在近30个国家发现了1,000多个受攻击目标。研究还揭示了新的之前未知的 Crimson RAT 组件,表明相关工具仍在开发中。这些是卡巴斯基公布的第一部分调查的结果之一。
Transparent Tribe (又被称为 PROJECTM 和 MYTHIC LEOPARD)是一个非常多产的威胁组织,因其大规模的间谍活动而在网络安全行业中广为人知。其活动最早可以追踪到2013年,卡巴斯基则从2016年开始关注该威胁组织。
该威胁组织最喜欢的感染方法是带有嵌入式宏的恶意文档。它的主要恶意软件是一个定制的.NET RAT——被称为 Crimson RAT。该工具由不同的组件组成,能够让攻击者在受感染及其上执行多种活动,从管理远程文件系统和截取屏幕,到使用麦克风设备监控音频,使用网络摄像头录制视频,并且窃取可移动存储介质上的文件。
多年以来,该组织的战术和技术一直保持一致,但卡巴斯基的研究显示该组织不断为特定的攻击行动创建新的计划。卡巴斯基研究人员在去年对该小组活动的探索中,发现了一个.NET文件,该文件被卡巴斯基产品检测为 Crimson RAT。然而,更深入的调查表明,这跟以前发现的 Crimson RAT 不同,而是一种新的服务器端的 Crimson RAT 组件,被攻击者用来管理受感染的机器。它有两个版本,分别于2017年、2018年和2019年进行了编译,表明该软件仍在开发中,该APT组织正在研究改进它的方法。
通过Transparent Tribe使用的最新组件列表,卡巴斯基能够观察到该组织的演变以及该组织如何加强其活动,开始大规模感染活动,开发新的工具并增强了对阿富汗的关注。
整体来看,考虑到2019年6月至2020年6月期间检测到的所有组件,卡巴斯基研究人员在27个国家发现了1,093个被攻击目标。受影响最严重的国家为阿富汗、巴基斯坦、印度、伊朗和德国。
遭受攻击最多的五个国家,2019年6月至2020年6月,不同用户
“我们的调查显示,Transparent Tribe 仍在针对多个目标开展大量攻击活动。在过去12个月,我们观察到该组织针对军事和外交目标开展了非常广泛的攻击活动,利用庞大的基础设施支持其行动,并不断改进其武器库。该组织还继续投资其主要使用的RAT:Crimson,以开展情报活动对敏感目标进行间谍活动。我们预测该组织在不久的未来不会放慢其攻击活动,我们将继续监控其活动,”卡巴斯基安全专家 Giampaolo Dedola 评论道。
与该威胁组织相关的感染迹象等详细信息,包括文件哈希值和C2 服务器等信息,请访问卡巴斯基威胁情报门户网站。
为了确保免受这些威胁的危害,卡巴斯基建议采取以下安全措施:
- 为您的SOC团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是该公司的一站式威胁情报访问平台,提供卡巴斯基 20 多年来收集的网络攻击数据和见解。
- 为了实现端点级别的检测以及及时的事件调查和修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 除了采用基础的端点保护外,请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
- 为您的员工提供基础网络安全卫生培训,因为很多针对性攻击都是从钓鱼攻击或其他社交工程手段开始的。进行模拟钓鱼攻击训练,确保员工知道如何分辨钓鱼邮件。
更多有关最新漏洞利用程序的详情,请访问Securelist,查看完整报告。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
