Как хакеры взламывают правительство и военных, заражая USB-устройства

Хакерская группировка Transparent Tribe (также известная как PROJECTM и MYTHIC LEOPARD) проводила атаки на правительства и военнослужащих 27 государств, используя свой троян Сrimson, предназначенный для заражения USB-устройств и последующем распространении малвари на другие USB-устройства, подключаемые к системе.

"Хакеры из Transparent Tribe сосредоточены на слежке и шпионаже, и для достижения этих целей группа постоянно развивает свой инструментарий в зависимости от намеченной цели" - написал Касперский в своем блоге.

Целью хакеров были жертвы из 27 стран, но большая часть из них была в Афганистане, Пакистане, Индии, Иране и Германии.

Последовательность атаки начинается с рассылки целевого (направленного) фишинга. Злоумышленники отправляют фальшивые сообщения вместе с вредоносными документами Microsoft Office, содержащими встроенный макрос, который устанавливает в систему троян Crimson Remote Access (RAT).

Если жертва попадается на уловку и включает макросы,  троян запускается и позволяет хакеру выполнять различные функции в системе жертвы, включая подключаение к серверу управления и контроля (C2) для кражи данных и удаленного обновления вредоносных программ, кражи файлов, захвата снимков экрана , а также взлома микрофонов и веб-камер для аудио и видеонаблюдения.

По словам экспертов «Лаборатории Касперского, троян также может красть файлы со съемных носителей и собирать учетные данные, хранящиеся в браузерах.

Вредонос существует в трех версиях, которые были скомпилированы в 2017, 2018 и конце 2019 года, что позволяет предположить, что вредоносная программа все еще находится в активной разработке. В период с июня 2019 года по июнь 2020 года было обнаружено более 200 образцов компонентов Transparent Tribe Crimson.

Хакеры из Transparent Tribe также используют и вредоносные программы, как например Crimson на .NET и Peppy на Python. Но самое интересное - это новый инструмент атаки под названием USBWorm. Он способен не только красть файлы, но и заражать другие уязвимые устройства.

Если к зараженному этой малварю устройству подключить USB-накопитель, то на него незаметно установится копия трояна. Вредоносная программа перечислит все каталоги на диске, а затем спрячет копию в корневом каталоге диска, изменив атрибут каталога затем изменяется на «скрытый». Троян использует иконку Windows, чтобы побудить жертву щелкнуть и выполнить полезную нагрузку при попытке доступа к каталогам.

«Это приводит к тому, что все фактические каталоги скрываются и заменяются копией вредоносного ПО с тем же именем каталога», - отмечают исследователи.

Если к зараженному ПК подключен USB-накопитель, копия трояна незаметно устанавливается на съемный носитель. Вредоносная программа перечисляет все каталоги на диске, а затем сохраняет копию трояна в корневом каталоге диска. Атрибут каталога затем изменяется на «скрытый», а поддельный значок Windows используется, чтобы побудить жертв щелкнуть и выполнить полезную нагрузку при попытке доступа к каталогам.

Понравилась публикация? Тогда делись с друзьями. А также не забудь подписаться на наш канал в Telegram и аккаунт в Twitter, чтобы всегда быть в курсе актуальных новостей и интересных статей!