Transparent Tribe, son 12 ayda 27 ülkede 1000’den fazla kurbana zarar verdi!

Transparent Tribe, son 12 ayda 27 ülkede 1000’den fazla kurbana zarar verdi!

 “Transparent Tribe” , dünya çapında askeri ve diplomatik kaynakları hedef alan bir siber casusluk faaliyeti yürütüyor.

Grup, virüse bir yönetim konsolu ekleyerek ve ağ içindeki makinelere yayılmasına olanak sağlayan worm özelliği ekleyerek Crimson RAT’ı güçlendirdi

Transparent Tribe, ilk olarak Proofpoint Araştırmacıları tarafından Şubat 2016’da, Suudi Arabistan ve Kazakistan’daki bazı büyükelçiliklerde Hintli diplomatlara ve askeri personele yönelik bir dizi siber casusluk girişiminde görüldü. Araştırmacılar Pakistan’daki IP kaynaklarını takip ettiler. Saldırılar, Crimson ve Peppy adında özel RAT’lar barındıran web siteleri(Watering hole) ve oltalama(phishing) e-posta saldırıları gibi çeşitlere dayanan bir operasyonun parçasıydı. Bu RAT’lar bilgi sızdırabilir, ekran görüntüsü alabilir ve web kamerasını kontrol edebilir.

27 Ülkeyi Hedef Alıyor!

Transparent Tribe, 2013’ten beri faaliyet gösteriyor. Saldırılar Afganistan, Almanya, Hindistan, İran ve Pakistan olmak üzere 27 ülkedeki kaynakları hedef aldı.

Tehdit aktörü uzun süre takip edildi, Ocak ayında Cybaze ZLab araştırmacıları tarafından, 4 yıllık sessizliğin ardından Transparent Tribe’ın geri dönüşüne dair kanıt bulundu.

Crimson, aşağıdakiler de dahil olmak üzere birçok özelliği destekleyen modüler kötü amaçlı bir yazılımdır:

  • Uzak dosya sistemlerini yönetmek
  • Dosya yükleyip indirmek
  • Ekran görüntüleri yakalamak
  • Mikrofon kullanarak ses kaydı almak
  • Kameradan video akışlarını kaydetmek
  • Çıkarılabilir medyadan dosya çalmak
  • Komutlar yürütmek
  • Tuş vuruşlarını kaydetmek(Keylogger)
  • Tarayıcılarda kayıtlı şifreleri çalmak
  • Çıkarılabilir medyaya bulaşarak sistemler arasında yayılmak

Geliştirilmeye Devam Ediyor!

Transparent Tribe ayrıca, çıkarılabilir sürücülerdeki dosyaları çalmak, çıkarılabilir medyaya bulaşarak sistemler arasında yayılmak ve uzak bir sunucudan Crimson’ın istemci sürümünü indirip çalıştırmak için kullanılan yeni bir USBWorm bileşenini Crimson RAT’a uyguladı.

“A olarak adlandırdığımız, 2017, 2018 ve 2019’da derlenmiş olan USBWorm bileşenini kurma ve uzak makinelerde komutları çalıştırma özelliği bulunan iki farklı sunucu bulduk.” Kaspersky tarafından yayınlanan analizde B adı verilen 2018’de ve 2019’un sonunda tekrar derlenmiş olan iki sürümün varlığı, bu yazılımın hala geliştirilme aşamasında olduğunu ve grubun onu geliştirmek için çalıştığını doğrular nitelikte”

Araştırmacılar .NET ikilisini(binary) analiz ederek, tespit edilen örneklerle iletişim kurmalarına izin veren bir çalışma ortamı kurabildiler.

Araştırmacılar, başlangıçta Crimson RAT’ın varyantı olarak görünen bir .NET dosyası keşfetti, ancak analiz sonucunda, istemci bileşenlerini yönetmek için kullanılan bir sunucu yazılımı olduğu ortaya çıktı.

Sunucu, etkilenen makinelerin listesini görüntüleyen ve onlar hakkında temel bilgileri gösteren bir kontrol paneline sahip.

Kontrol panelinin üstünde, sunucuyu veya virüslü sistemlerden birini yönetmeye yarayan araç çubuğu var. Aşağısında, sunucu tarafından arka planda gerçekleştirilen eylemlerin bir listesini görüntüleyen bir konsol çıktısı mevcut.

Arayüz, uzaktaki bir sistemi yönetmeye ve bilgi toplamaya izin veren 12 sekmeli bir bot paneline sahip. Sekmelerin özellikleri, uzak dosya sistemini keşfetmek, dosya indirme, yükleme silme, keylogging, uzaktaki ekranı izlemek ve kullanıcının sisteminde ne yaptığını kontrol etmek de bunlara dahil.

Usb Stealer Barındırıyor!

CrimsonRAT’taki yeni USBWarm bileşenine yapılan analiz sonucunda, bir indirici, enjektör ve USBStealer(Usb Veri Çalıcı) barındırdığı ortaya çıktı.

“Başlatıldığında, çalıştırıldığı konumun yerleşik yapılandırmada belirtilen yol olup olmadığını ve sisteme zaten bir Crimson istemcisi bulaşmış olup olmadığını kontrol eder” sonrasında bu koşullar karşılanırsa, çıkarılabilir medyayı izlemeye başlar ve tüm çıkarılabilir medyalara kötü amaçlı yazılım bulaştırmaya çalışır. Bunun yanı sıra çıkarılabilir  medyalardan veri çalmaya çalışır.”

USBWorm için bulaşma süreci, kurban cihazın tüm dizinlerini taramakla başlar. Ardından kötü amaçlı yazılım, aynı dizin adını kullanarak sürücünün kök dizininde kendisinin bir kopyasını oluşturur. Gerçek dizinler, aynı dizin adını kullanan kötü amaçlı yazılımın bir kopyasıyla değiştirilirken “gizli” olarak ayarlanır. USBWorm, kullanıcıyı dizinlerden birine erişmeye çalışırken kötü amaçlı yazılımı başlatılması için kandırma amacı taşıyan bir Windows dizinini simgesine sahiptir.

Kaspersky’ye göre, “Bu basit numara, dosya uzantılarının gizli olduğu ve gizli dosyaların görünmediği Windows cihazlarda çok iyi çalışıyor”. Kurban, bir dizine her erişmeye çalıştığında solucanı çalıştıracak. Dahası, kötü amaçlı yazılım gerçek dizinleri silmez ve başlatıldığında “explorer.exe” yi çalıştırıp kullanıcının beklediği gibi erişilmek istenilen dizinin açılmasını sağlayacaktır.”

Kötü amaçlı yazılım, cihazda depolanan tüm dosyaları listeler ve tüm dosyaları ilgili uzantısıyla kopyalar (Örn. .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pps, .ppsx ve .txt.)

Kaspersky; “Transparent Tribe, birden fazla hedefe karşı yüksek aktivite göstermeye devam ediyor. Son 12 ayda, askeri ve diplomatik hedeflere yönelik geniş bir operasyon gözlemledik. Grup, istihbarat faaliyetleri gerçekleştirmek ve hassas hedefleri gözetlemek için CrimsonRAT’a yatırım yapmaya devam ediyor. Yakın gelecekte bu gruptan herhangi bir yavaşlama beklemiyoruz ve faaliyetlerini izlemeye devam edeceğiz. ” şeklinde açıklama yaptı.

Kaynak: https://securityaffairs.co/wordpress/107446/apt/transparent-tribe-apt-2020.html (Çeviri)

Related Posts

Leave a Reply