Группировка Transparent Tribe атакует дипломатов и военных в 27 странах

Группировка Transparent Tribe атакует дипломатов и военных в 27 странах

Alexander Antipov

Злоумышленники используют в атаках инструмент, предназначенный для заражения USB-устройств.

image

Киберпреступная группировка Transparent Tribe (также известная как PROJECTM и MYTHIC LEOPARD) организовала вредоносные кампании против дипломатов и военнослужащих в 27 странах. В основном жертвы располагались в Афганистане, Пакистане, Индии, Иране и Германии. Злоумышленники вооружились новым инструментом, предназначенным для заражения USB-устройств и распространения вредоносного ПО на другие системы.

Цепочка атак начинается с направленного фишинга. Мошеннические сообщения отправляются с вредоносными документами Microsoft Office, содержащими встроенный макрос для установки трояна Crimson Remote Access. Троян способен выполнять множество функций, включая подключение к C&C-серверу для кражи данных, удаленного обновления вредоносных программ, создания скриншотов, а также взлома микрофонов и web-камер для аудио и видеонаблюдения.

По словам экспертов из «Лаборатории Касперского», вредонос способен похищать файлы со съемных носителей, осуществлять кейлоггинг и красть учетные данные из браузеров.

Transparent Tribe также использует такие вредоносные программы, как Crimson на базе .NET и Peppy на базе Python. В ходе последних атак преступники внедрили в троян Crimson новую функциональность под названием USBWorm. Он состоит из двух основных компонентов: средства кражи файлов со съемных дисков и функции червя для заражения других уязвимых устройств.

Если к зараженному ПК подключен USB-накопитель, копия трояна незаметно устанавливается на съемный носитель. Вредоносная программа перечисляет все каталоги на диске, а затем сохраняет копию трояна в корневом каталоге диска. Атрибут каталога затем изменяется на «скрытый», а поддельный значок Windows используется, чтобы побудить жертв щелкнуть и выполнить полезную нагрузку при попытке доступа к каталогам.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab