ESET ontdekt nieuw malware project van de ongrijpbare Ke3chang
APT-groep
Een onderzoeksteam van ESET ontdekte een nieuwe versie van de malware
families gekoppeld aan de ongrijpbare Ke3chang APT-groep, samen
met een eerder ongekende backdoor. ESET volgde de APT-groep, waarvan gedacht
wordt dat het sinds een aantal jaren uit China actief is.
De recent ontdekte backdoor, door ESET Okrum genaamd, werd
eerst in 2016 ontdekt en ook tijdens 2017. Het werd gebruikt om te doelen op
diplomatieke missies en overheidsinstellingen in België, Slovakije, Brazilië,
Chili en Guatemala. Bovendien bleef ESET nieuwe versies van de gekende malware
families detecteren, toegeschreven aan de Ke3chang APT-groep.
In onderzoekingen die tot 2015 teruggaan, identificeerde
ESET nieuwe verdachte activiteiten in Europese landen. De groep achter deze
aanvallen scheen bijzondere aandacht te hebben voor Slovakije maar Kroatië, de
Tsjechische Republiek en andere landen werden ook getroffen. Bij analyses van
deze aanvallen, hebben vorser van ESET ontdekt dat het banden had met gekende
malware families verbonden aan de Ke3chang APT-groep. Ze gaven deze nieuwe
versies de naam Ketrican.
Op het einde van 2016 hebben de onderzoekers ontdekt dat een
nieuwe, voorheen onbekende, backdoor gericht was op dezelfde doelwitten in
Slovakije als deze die in 2015 de doelwitten van Ketrican waren. De backdoor
die de naam Okrum meekreeg, bleef actief in 2017.
“We
begonnen te vergelijken en vonden dat de Okrum backdoor gebruikt werd om een
Ketrican-backdoor te droppen die in 2017 was samengesteld. Bovendien vonden we
dat bepaalde diplomatieke entiteiten die in 2015 getroffen waren door de
Okrum-malware en de Ketrican backdoors, ook getroffen werden door de Ketrican backdoors
uit 2017,” zegt Zuzana Hromcova, de onderzoekster van
ESET die dit ontdekte. “De groep bleef actief in 2019. In maart hebben we een
nieuwe Ketrican-staal ontdekt,” verduidelijkte ze over de meest recente
activiteiten van de notoir ongrijpbare groep.
Het onderzoek van ESET bewijst dat de
nieuwe backdoor aan de Ke3chang-groep kan toegeschreven worden. Naast de gedeelde
doelwitten, heeft Okrum eenzelfde werkwijze als de voorheen gedocumenteerde Ke3chang-malware.
Okrum is bijvoorbeeld enkel uitgerust met standaard backdoordopdrachten en is
afhankelijk van met de hand ingevoerde opdrachten en van het uitvoeren van externe
tools voor de meeste van zijn schadelijke activiteiten. Dit is de standaard
werkwijze van de Ke3chang-groep bij de eerder onderzochte campagnes.
Ondanks het feit dat de malware technisch
niet complex is, kunne we met zekerheid vaststellen dat de kwaadwillige daders
achter Okrum probeerden onopgemerkt te blijven.
De payload is verborgen in een
PNG-bestand. Als het bestand in een
viewer wordt bekeken wordt een onschadelijk ogende PNG-afbeelding weergegeven
terwijl de Okrum laders een extra versleuteld bestand kunnen vinden dat de
gebruiker niet kan zien.
De operatoren hebben ook geprobeerd het
kwaadaardige verkeer met een Command & Control server te verbergen binnen normaal
netwerkverkeer door schijnbaar legitieme domeinnamen te registreren. “De stalen
die bijvoorbeeld gebruikt werden tegen de Slowaakse doelwitten communiceerden
met een domeinnaam die een Slowaaks landkaartenportaal nabootste,” aldus Hromcova.
Bovendien, om de paar maanden, wijzigden de auteurs de implementatie
van de Okrum laad- en installatiecomponenten om een eventuele detectie te
voorkomen. Bij de publicatie van deze resultaten had ESET reeds zeven
verschillende versies van de laadcomponent en twee versies van de
installatiecomponent gedetecteerd, hoewel de functie dezelfde gebleven
was.
Voor de
technische analyse en meer details over de connecties, lees het witboek
Okrum and Ketrican: An
overview of recent Ke3chang group activity en de blogpost Okrum: Ke3chang group
targets diplomatic missions op WeLiveSecurity.com.
Voor het gratis e-book over gegevensbescherming, bezoek https://www.eset.com/be-nl/zakelijk/data-protection-ebook/