Kui ühendate selle pahavaraga nakatunud seadmega USB-draivi, installitakse sellesse vaikselt troojalase koopia.
Läbipaistva hõimu häkkerite rühmitus (tuntud ka kui PROJECTM ja MYTHIC LEOPARD) korraldas rünnakuid 27 osariigi valitsuste ja sõjaväelaste vastu, kasutades oma Crimson Trojanit, mis oli mõeldud USB-seadmete nakatamiseks ja seejärel pahavara levitamiseks teistele süsteemiga ühendatud USB-seadmetele.
"Läbipaistva hõimu häkkerid on keskendunud jälgimisele ja spionaažile ning nende eesmärkide saavutamiseks arendab rühmitus pidevalt oma tööriistakomplekti sõltuvalt kavandatud eesmärgist," kirjutas Kaspersky oma ajaveebis.
Häkkerid võtsid sihikule ohvreid 27 riigist, kuid enamik neist oli Afganistanis, Pakistanis, Indias, Iraanis ja Saksamaal.
Rünnakute jada algab õngepüügiga. Ründajad saadavad võltssõnumeid koos pahatahtlike Microsoft Office’i dokumentidega, mis sisaldavad manustatud makrot, mis installib süsteemi Crimson Remote Access (RAT) troojalase.
Kui ohver satub kavalusse ja lubab makrosid, käivitatakse troojalane ja see võimaldab häkkeril täita ohvri süsteemis erinevaid funktsioone, sealhulgas luua ühenduse käsu- ja juhtimisserveriga (C2), et varastada andmeid ja kaugvärskendada pahavara, varastada faile, jäädvustada ekraanipilte ning häkkida mikrofone ja veebikaameraid heli- ja videovalve jaoks.
Kaspersky Labi ekspertide sõnul võib troojalane varastada faile ka irdkandjatelt ja koguda brauseritesse salvestatud mandaate.
Pahavara on olemas kolmes versioonis, mis koostati aastatel 2017, 2018 ja 2019. aasta lõpus, mis viitab sellele, et pahavara on endiselt aktiivses arenduses. Ajavahemikus juuni 2019 kuni juuni 2020 leiti üle 200 Transparent Tribe Crimson komponentide proovi.
Trooja leviku kaart
Transparent Tribe’i häkkerid kasutavad ka pahavara, nagu Crimson for .NET ja Peppy for Python. Kõige huvitavam on aga uus ründetööriist nimega USBWorm. See ei saa mitte ainult faile varastada, vaid ka nakatada teisi haavatavaid seadmeid.
Kui ühendate selle pahavaraga nakatunud seadmega USB-draivi, installitakse sellesse vaikselt troojalase koopia. Pahavara loetleb kõik draivil olevad kataloogid ja peidab seejärel koopia draivi juurkataloogis, muutes kataloogi atribuuti ja seejärel "peidetud". Troojalane kasutab Windowsi ikooni, et meelitada ohvrit kataloogidele juurde pääsedes klõpsama ja täitma.
"See põhjustab kõigi tegelike kataloogide peitmise ja asendamise sama katalooginimega pahavara koopiaga," märgivad teadlased.
Kui nakatunud arvutiga on ühendatud USB-draiv, installitakse troojalase koopia diskreetselt irdkandjale. Pahavara loetleb kõik draivil olevad kataloogid ja salvestab seejärel trooja koopia draivi juurkataloogi. Seejärel muudetakse kataloogi atribuut "peidetud" ja võltsitud Windowsi ikooni kasutatakse, et meelitada ohvreid kataloogidele juurdepääsu katsel klõpsama ja täitma.