26.08.2020 • Produkt

Kaspersky: Unbekannte Crimson-RAT-Bestandteile entdeckt

Seit Januar 2019 untersucht Kaspersky eine laufende Kampagne der APT-Gruppe Transparent Tribe, die den Remote Access Trojaner (RAT) Crimson verbreitet. Die Angriffe begannen damit, dass schädliche Microsoft-Office-Dokumente mithilfe von Spear-Phishing-E-Mails an die Opfer verschickt wurden. Innerhalb eines Jahres konnten die Forscher mehr als 1.000 Ziele in fast 30 Ländern identifizieren. Die Analyse des Trojaners Crimson offenbarte zudem neue, bisher unbekannte Bestandteile, was darauf hindeutet, dass dessen Entwicklungsprozess noch nicht abgeschlossen ist. Transparent Tribe, auch bekannt als Projectm und Mythic Leopard, ist eine für ihre massiven Spionagekampagnen bekannte Gruppe. Ihre Aktivitäten lassen sich bis ins Jahr 2013 zurückverfolgen; Kaspersky beobachtet die Gruppe seit 2016.

Transparent Tribe ist dafür bekannt, über schädliche Dokumente mit einem eingebetteten Makro Geräte zu infizieren. Hierfür verwendet sie die benutzerdefinierte Malware.NET RAT – allgemein als Crimson RAT bekannt. Diese setzt sich aus verschiedenen Komponenten zusammen, die es dem Angreifer ermöglichen, auf infizierten Rechnern mehrere Aktivitäten durchzuführen – von der Verwaltung von Remote-Dateisystemen und der Aufnahme von Screenshots über die Audioüberwachung mit Mikrofongeräten, die Aufzeichnung von Video-Streams durch Webcams bis hin zum Diebstahl von Wechseldatenträger-Informationen. Während die Taktiken und Techniken der Gruppe über die Jahre hinweg gleichgeblieben sind, zeigen Kaspersky-Analysen, dass Transparent Tribe dennoch ständig neue Programme für bestimmte Kampagnen entwickelt hat. Im vergangenen Jahr entdeckten die Experten eine .NET-Datei, die von den Kaspersky-Lösungen als Crimson RAT erkannt wurde. Eine genauere Prüfung hat jedoch gezeigt, dass es sich um etwas anderes handelte – eine neue server-seitige Crimson RAT-Komponente, die von den Angreifern zur Verwaltung infizierter Computer verwendet wird. Sie ist in zwei Versionen erhältlich und wurde in den Jahren 2017, 2018 und 2019 kompiliert. Dies weist darauf hin, dass sich diese Software noch in der Entwicklung befindet und die APT-Gruppe an Möglichkeiten für deren Optimierung arbeitet.

 

Business Partner

Kaspersky Labs GmbH

Despag-Straße 3
85055 Ingolstadt
Deutschland

Kontakt zum Business Partner







VIP

VIP-Interview: Carsten Baeck

VIP-Interview: Carsten Baeck

Geschäftsführender Gesellschafter DRB Deutsche Risikoberatung & ASW-Vorstandsmitglied

Olympia 2024

Sicherheitslage und Schutzmaßnahmen für Paris

Sicherheitslage und Schutzmaßnahmen für Paris

Die Olympischen Sommerspiele 2024 sollen vom 26. Juli bis zum 11. August 2024 in Paris stattfinden.

Top-Feature

Meist gelesen

Photo
13.02.2024 • ProduktSafety

Hymer: GFK-Leitern ohne Metall

Der Wangener Steigtechnik-Hersteller Hymer hat vier GFK-Leitern im Sortiment. Die Steighilfen bestehen aus glasfaserverstärktem Kunststoff (GFK) und kommen völlig ohne Metallanteil aus. Aufgrund ihrer speziellen Eigenschaften eignen sie sich besonders für Arbeiten in Bereichen mit elektrischer Spannung sowie für den Einsatz in der Lebensmittel-, Chemie- und Pharmaindustrie.

Photo
27.03.2024 • ProduktBrandschutz

HB-Wildfire 2.0 zur Brandbekämpfung im freien Gelände

28.03.2024 - Diese Kollektion von HB Protective Wear ist auf die hohen Anforderungen an die Einsatzkräfte bei der Flächenbrandbekämpfung angepasst: Sie schützt vor Flammen und ist trotzdem bequem und körperlich entlastend, denn das leichte und strapazierfähige Obermaterial lässt sich angenehm tragen.

Photo
26.03.2024 • ProduktBrandschutz

Funkrauchmeldesystem von Dormakaba

26.03.2024 - Das kabellose Rauchmeldesystem von Dormakaba für Türfeststellanlagen ist einfach zu installieren und sicher im Betrieb. Deckenrauchmelder und Handtaster festschrauben, Funkmodul mit Rauchmeldezentrale verbinden, fertig.