Wie Hacker die Regierung und das Militär hacken, indem sie USB-Geräte infizieren
Wenn Sie ein USB-Laufwerk an ein mit dieser Malware infiziertes Gerät anschließen, wird darauf unbemerkt eine Kopie des Trojaners installiert.
Die Hackergruppe Transparent Tribe (auch bekannt als PROJECTM und MYTHIC LEOPARD) führte mit ihrem Crimson-Trojaner Angriffe auf die Regierungen und das Militärpersonal von 27 Staaten durch, der darauf ausgelegt war, USB-Geräte zu infizieren und dann Malware auf andere an das System angeschlossene USB-Geräte zu verbreiten.
„Die Hacker von Transparent Tribe konzentrieren sich auf Überwachung und Spionage, und um diese Ziele zu erreichen, entwickelt die Gruppe ihr Toolkit je nach beabsichtigtem Ziel ständig weiter”, schrieb Kaspersky in seinem Blog.
Die Hacker zielten auf Opfer aus 27 Ländern, aber die meisten von ihnen befanden sich in Afghanistan, Pakistan, Indien, Iran und Deutschland.
Die Angriffssequenz beginnt mit Spear-Phishing. Die Angreifer senden gefälschte Nachrichten zusammen mit bösartigen Microsoft Office-Dokumenten, die ein eingebettetes Makro enthalten, das den Trojaner Crimson Remote Access (RAT) auf dem System installiert.
Wenn das Opfer auf die List hereinfällt und Makros aktiviert, wird der Trojaner gestartet und ermöglicht dem Hacker, verschiedene Funktionen auf dem System des Opfers auszuführen, einschließlich der Verbindung zu einem Command-and-Control (C2)-Server, um Daten zu stehlen und Malware aus der Ferne zu aktualisieren , Dateien zu stehlen. Nehmen Sie Screenshots auf und hacken Sie auch Mikrofone und Webcams für die Audio- und Videoüberwachung.
Laut Experten von Kaspersky Lab kann der Trojaner auch Dateien von Wechselmedien stehlen und in Browsern gespeicherte Zugangsdaten sammeln.
Die Malware existiert in drei Versionen, die 2017, 2018 und Ende 2019 kompiliert wurden, was darauf hindeutet, dass sich die Malware noch in der aktiven Entwicklung befindet. Zwischen Juni 2019 und Juni 2020 wurden über 200 Proben von Transparent Tribe Crimson-Komponenten gefunden.
Trojaner-Verbreitungskarte
Die Hacker von Transparent Tribe verwenden auch Malware wie Crimson für .NET und Peppy für Python. Am interessantesten ist jedoch ein neues Angriffstool namens USBWorm. Es kann nicht nur Dateien stehlen, sondern auch andere anfällige Geräte infizieren.
Wenn Sie ein USB-Laufwerk an ein mit dieser Malware infiziertes Gerät anschließen, wird darauf unbemerkt eine Kopie des Trojaners installiert. Die Malware listet alle Verzeichnisse auf dem Laufwerk auf und versteckt dann eine Kopie im Stammverzeichnis des Laufwerks, ändert das Verzeichnisattribut und wechselt dann zu „versteckt”. Der Trojaner verwendet das Windows-Symbol, um das Opfer dazu zu verleiten, beim Versuch, auf Verzeichnisse zuzugreifen, eine Payload anzuklicken und auszuführen.
„Dadurch werden alle tatsächlichen Verzeichnisse ausgeblendet und durch eine Kopie der Malware mit demselben Verzeichnisnamen ersetzt”, stellen die Forscher fest.
Wenn ein USB-Laufwerk an den infizierten PC angeschlossen wird, wird eine Kopie des Trojaners diskret auf einem Wechselmedium installiert. Die Malware zählt alle Verzeichnisse auf dem Laufwerk auf und speichert dann eine Kopie des Trojaners im Stammverzeichnis des Laufwerks. Das Verzeichnisattribut wird dann in „versteckt” geändert und ein gefälschtes Windows-Symbol wird verwendet, um Opfer dazu zu verleiten, auf die Payload zu klicken und sie auszuführen, wenn sie versuchen, auf Verzeichnisse zuzugreifen.