Kaspersky: Deutschland unter den am stärksten betroffenen Ländern

Angriffe mit neuen Crimson-RAT-Bestandteilen

24. August 2020, 12:30 Uhr   |  Jörg Schröper

Angriffe mit neuen Crimson-RAT-Bestandteilen
© Wolfgang Traub

Seit Januar 2019 untersuchten die Sicherheitsspezialisten von Kaspersky eine laufende Kampagne der APT-Gruppe Transparent Tribe, die den Remote Access Trojaner (RAT) Crimson verbreitet. Die Angriffe begannen damit, dass schädliche Microsoft-Office-Dokumente mit Hilfe von Spear-Phishing-E-Mails an die Opfer gingen. Innerhalb eines Jahres konnten die Forscher mehr als 1.000 Ziele in fast 30 Ländern identifizieren. Die Analyse des Trojaners Crimson offenbarte zudem bisher unbekannte Bestandteile, was laut Kaspersky darauf hindeutet, dass der Entwicklungsprozess noch nicht abgeschlossen ist.

Transparent Tribe, auch bekannt als ProjectM und Mythic Leopard, ist eine für ihre massiven Spionagekampagnen bekannte Gruppe. Ihre Aktivitäten lassen sich bis ins Jahr 2013 zurückverfolgen. Kaspersky beobachtet die Gruppe nach eigenen Angaben seit 2016. Sie sei dafür bekannt, über schädliche Dokumente mit einem eingebetteten Makro Geräte zu infizieren. Dazu verwendet sie die benutzerdefinierte Malware .NET RAT – allgemein als Crimson RAT bekannt. Diese setzt sich aus verschiedenen Komponenten zusammen, die es dem Angreifer ermöglichen, auf infizierten Rechnern mehrere Aktivitäten durchzuführen – von der Verwaltung von Remote-Dateisystemen und der Aufnahme von Screenshots über die Audioüberwachung mit Mikrofongeräten, die Aufzeichnung von Video-Streams durch Webcams bis hin zum Diebstahl von Wechseldatenträger-Informationen.

Während die Taktiken und Techniken der Gruppe über die Jahre hinweg gleichgeblieben sind, zeigen Kaspersky-Analysen, dass Transparent Tribe offenbar dennoch neue Programme für bestimmte Kampagnen entwickelt hat. Im Rahmen der Untersuchung ihrer Aktivitäten im vergangenen Jahr entdeckten die Experten eine .NET-Datei, die von den Kaspersky-Lösungen als Crimson RAT erkannt wurde. Eine genauere Prüfung habe jedoch gezeigt, dass es sich um etwas anderes handelte – eine neue Server-seitige Crimson-RAT-Komponente, die den Angreifern zur Verwaltung infizierter Computer dient. Sie ist in zwei Versionen erhältlich und wurde in den Jahren 2017, 2018 und 2019 kompiliert. Dies weist darauf hin, dass sich diese Software noch in der Entwicklung befindet und die APT-Gruppe an Möglichkeiten für deren Optimierung arbeitet.

Mit einer aktualisierten Liste der von Transparent Tribe verwendeten Komponenten konnte Kaspersky die Entwicklung der Gruppe nachvollziehen und beobachten, wie sie ihre Aktivitäten intensivierte, massive Infektionskampagnen startete, neue Instrumente entwickelte und ihren Fokus auf Afghanistan verstärkte.

Insgesamt haben die Kaspersky-Forscher unter Berücksichtigung aller Komponenten, die zwischen Juni 2019 und Juni 2020 entdeckt wurden, 1.093 Ziele in 27 Ländern identifiziert. Neben Afghanistan, Pakistan, Indien und dem Iran gehört auch Deutschland zu den am stärksten betroffenen Ländern.

Weitere Informationen stehen www.kaspersky.de/enterprise-security/threat-intelligence zur Verfügung.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Kaspersky Labs GmbH

Kasperky Lab

Kaspersky