Más detalles sobre Transparent Tribe, la prolífica campaña de espionaje militar y gubernamental

10 septiembre, 2020
5 Compartido 1,172 Visualizaciones

Kaspersky investiga una campaña lanzada por un grupo conocido como Transparent Tribe, cuyo objetivo es distribuir el troyano de acceso remoto (RAT), Crimson

Los ataques comenzaron con documentos maliciosos de Microsoft Office que se enviaban a las víctimas mediante el uso de correos electrónicos de «spear-phishing». En tan solo un año, los investigadores han encontrado más de 1.000 objetivos en cerca de 30 países. La investigación también ha revelado nuevos elementos, hasta ahora desconocidos, de Crimson, lo que indicaría que todavía se encuentra en fase de desarrollo. Estas son algunas de las conclusiones de la primera parte de la investigación publicada por Kaspersky.

Transparent Tribe, también conocido como PROJECTM y MYTHIC LEOPARD, es un grupo muy prolífico y conocido en el sector de la ciberseguridad por sus campañas masivas de espionaje. Su actividad comenzó en 2013 y Kaspersky lleva vigilando al grupo desde el año 2016.

Su método favorito de infección es utilizar documentos maliciosos a través de una macro integrada y su principal malware es un RAT personalizado .NET, conocido públicamente como Crimson RAT. Esta herramienta está compuesta por diferentes elementos que permiten al atacante realizar numerosas actividades en los equipos infectados, tales como la gestión de sistemas de archivos remotos y las capturas de pantalla, la vigilancia de audio mediante dispositivos con micrófonos, la grabación de secuencias de vídeo de cámaras web y el robo de archivos de dispositivos extraíbles.

Mientras que las tácticas y técnicas del grupo han permanecido constantes a lo largo de los años, la investigación de Kaspersky ha demostrado que ha estado creando nuevos programas para campañas específicas. Durante la investigación de las actividades del grupo en el último año, se detectó un archivo .NET que fue descubierto por los productos de la compañía como Crimson RAT. Un análisis más exhaustivo ha demostrado que se trataba de un elemento diferente: un nuevo componente Crimson RAT del lado del servidor, utilizado por los atacantes para gestionar las máquinas infectadas. Fue recopilado en dos versiones, en 2017, 2018 y 2019, lo que indica que este software todavía está en desarrollo y el grupo APT trabaja en formas de mejorarlo.

A través de la lista de los elementos utilizados por Transparent Tribe, Kaspersky ha podido observar la evolución del grupo y la forma en que ha intensificado su actividad, ha iniciado amplias campañas de infección, ha desarrollado nuevos instrumentos y ha aumentado su enfoque en Afganistán.

A nivel global, y considerando todos los elementos detectados entre junio de 2019 y junio de 2020, el equipo de investigación de Kaspersky ha encontrado 1.093 objetivos en 27 países, siendo Afganistán, Pakistán, India, Irán y Alemania los países más afectados. 

«Nuestra investigación indica que Transparent Tribe continúa realizando una intensa actividad contra múltiples objetivos. Durante estos últimos 12 meses, hemos podido observar una campaña muy amplia contra objetivos militares y diplomáticos, utilizando una gran infraestructura para apoyar sus operaciones, así como constantes mejoras en su arsenal. El grupo mantiene la inversión en su principal RAT, Crimson, con el fin de realizar actividades de inteligencia y espiar objetivos estratégicos. No esperamos ninguna desaceleración de este grupo en un futuro cercano, por lo que seguiremos vigilando sus actividades», indica Giampaolo Dedola, experto en seguridad de Kaspersky.

En Kaspersky Threat Intelligence Portal se puede acceder a información más detallada sobre los Indicadores de Compromiso relacionados con este grupo, incluyendo hashes de archivos y servidores C2.

Para mantenerse a salvo de esta amenaza, Kaspersky recomienda adoptar las siguientes medidas de seguridad:

  • Proporciona a tu equipo SOC acceso a la última información sobre amenazas. 
  • Implementa soluciones EDR.
  • Además de adoptar una protección básica de terminales, pon en funcionamiento una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red desde una fase temprana.
  • Proporciona a tu equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan por el phishing u otras técnicas de ingeniería social. Realiza un ataque de phishing de simulación para asegurarte de que la plantilla sabe cómo distinguir los correos electrónicos de phishing.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Los proveedores: el nuevo tendón de Aquiles de la Ciberseguridad
Network Security
19 compartido2,700 visualizaciones
Network Security
19 compartido2,700 visualizaciones

Los proveedores: el nuevo tendón de Aquiles de la Ciberseguridad

Mónica Gallego - 31 julio, 2019

La ciberseguridad es una de las principales preocupaciones de las empresas, de todos los tamaños y de todos los sectores,…

Check Point anuncia la disponibilidad de CloudGuard SaaS
Actualidad
21 compartido1,235 visualizaciones
Actualidad
21 compartido1,235 visualizaciones

Check Point anuncia la disponibilidad de CloudGuard SaaS

Vicente Ramírez - 3 diciembre, 2018

Detiene las amenazas que afectan a la seguridad de los datos empresariales en aplicaciones SaaS. Check Point, proveedor líder especializado…

«El fraude en los pagos sigue afectando a la mayoría de las organizaciones, independientemente de su tamaño»
Actualidad
32 compartido2,455 visualizaciones
Actualidad
32 compartido2,455 visualizaciones

«El fraude en los pagos sigue afectando a la mayoría de las organizaciones, independientemente de su tamaño»

Vicente Ramírez - 7 septiembre, 2018

Los eCommerce deben de tomar la importante decisión de elegir una plataforma de pagos que brinde seguridad a todos sus…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.