Siber güvenlik uzmanları, geçtiğimiz aylarda Crimson adlı uzaktan erişim Truva atını (RAT) dağıtmaya çalışan Transparent Tribe grubunu incelemeye başladı. Saldırılarda hedefli e-postalarla gönderilen kötü amaçlı Microsoft Office belgeleri kullanılıyordu. Araştırmacılar yalnızca bir yıl içinde 30’dan fazla ülkede 1000’den fazla kurban tespit etti. Araştırmacılar ayrıca Crimson’un daha önceden bilinmeyen yeni bileşenlerini de ortaya çıkardı. Bu da zararlı yazılımın halen geliştirildiğini gözler önüne serdi. Bu bulgular, uzmanlar tarafından yapılan araştırmanın ilk bölümünde elde edildi.
Transparent Tribe düzenlediği büyük casusluk saldırılarıyla siber güvenlik camiasında tanınan bir grup. 2013’ten bu yana faaliyetlerini sürdüren grup 2016’dan itibaren Kaspersky’nin takibi altında.
Transparent Tribe sistemlere sızmak için içinde bir makro bulunan zararlı belgeler kullanmayı tercih ediyor. En sık kullandığı zararlı yazılım ise Crimson adlı uzaktan erişim Truva atı. Farklı bileşenlerden oluşan bu araç saldırganların sızdıkları makinelerde çeşitli işlemler yapmasını sağlıyor.
Bu araç sayesinde saldırganlar dosya sistemlerini uzaktan kontrol edebiliyor, ekran görüntüsü alabiliyor, mikrofonlarla ortam dinlemesi yapabiliyor, web kameralarıyla görüntü alabiliyor ve çıkarılabilir depolama cihazlarından dosya çalabiliyor.
Grubun kullandığı taktikler ve yöntemler yıllar içinde pek değişmese de Kaspersky’nin yaptığı araştırmada grubun belirli saldırılar için yeni programlar geliştirdiği görüldü. Geçtiğimiz yıl grubun faaliyetlerini takip eden Kaspersky araştırmacıları, güvenlik çözümlerinin Crimson RAT olarak tanımladığı bir .NET dosyası tespit etti. Yapılan analizlerde dosyanın aslında daha farklı bir şey olduğu görüldü. Saldırganların sızdıkları makineleri yönetmek için sunucu tarafında yeni bir Crimson RAT bileşeni kullandığı anlaşıldı. İki farklı sürümü olan bu dosyanın 2017, 2018 ve 2019’da derlendiği görüldü. Bu da yazılımın halen geliştirilme aşamasında olduğunu ve APT grubunun yazılımı daha iyi hale getirmeye çalıştığını gösteriyor.
Kullanılan güncel bileşen listesiyle birlikte uzmanlar, grubun gelişim sürecini ve faaliyetlerini gözlemleme fırsatı yakaladı. Transparent Tribe’ın büyük saldırılar başlattığı, yeni araçlar geliştirdiği ve dikkatini Afganistan’a çevirdiği görüldü.
Genel olarak, araştırmacılar Haziran 2019 ile Haziran 2020 arasında belirlenen tüm bileşenleri 27 ülkeden 1090 hedefte tespit etti. Saldırılardan en çok etkilenen ülkeler Afganistan, Pakistan, Hindistan, İran ve Almanya oldu.
Güvenlik analisti Giampaolo Dedola, “Yaptığımız incelemeler, Transparent Tribe’ın birçok hedefe karşı yoğun bir faaliyet içerisine girdiğini gösteriyor. Son 12 ay içinde askeri ve diplomatik hedeflere geniş kapsamlı saldırılar yapıldığını gözlemledik. Bu saldırılar büyük bir altyapıyla destekleniyordu. Ayrıca grubun kullandığı silahların da sürekli geliştiğini gördük. Grup ana silahı olan Crimson RAT ile hassas hedeflerde istihbarat toplamaya devam ediyor. Grubun yakın gelecekte yavaşlamasını beklemiyoruz. Takibi sürdüreceğiz.” dedi.
Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik önlemlerini almalarını tavsiye ediyor:
Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden bir kurumsal sınıf güvenlik çözümü kullanın.
Ekibinizin temel siber güvenlik önlemlerini öğrenmesini sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.
