APT groep gebruikt innoverende
methodes om hun kwaadaardige payloods verder te verspreiden
Onderzoekers bij
ESET hebben nieuwe tools ontdekt die door de Gamaredon-groep gebruikt
worden in hun nieuwste kwaadaardige campagnes. De eerste tool heeft Microsoft
Outlook als doelwit. Hiervoor wordt een aangepast Microsoft Outlook Visual
Basic for Applications (VBA) -project gebruikt dat de aanvallers in staat stelt
om het mailaccount van het slachtoffer te kraken en zo spearphishing-mails te
sturen naar contacten in het adresboek. Het gebruik van Outlook-macro's om
malware te verspreiden, wordt door onderzoekers zelden gezien. De tweede tool
gebruikt door deze actieve APT-groep, dient om macro's en referenties naar
externe sjablonen in Office-, Word- en Excel-documenten te injecteren. Beide tools
zijn ontworpen om de Gamaredon-groep te helpen zich verder te verspreiden in reeds
gecompromitteerde netwerken.
"Tijdens de afgelopen paar maanden is de activiteit van deze
groep toegenomen. Constante golven van kwaadaardige mails hebben de mailboxen
van hun doelen geraakt. De bijlagen bij deze mails zijn documenten met
schadelijke macro's die, wanneer ze worden uitgevoerd, een groot aantal diverse
soorten malware proberen te downloaden ”, zegt Jean-Ian Boutin, Head Threat
Research bij ESET.
De nieuwste tools injecteren schadelijke macro's of verwijzingen
naar externe sjablonen in bestaande documenten op het aangevallen systeem. Dit
is een zeer efficiënte manier is om binnen het netwerk van een organisatie te evolueren,
aangezien documenten routinematig met collega's worden gedeeld. Bovendien,
dankzij een speciale functionaliteit die de beveiligingsinstellingen van de
Microsoft Office macro’s bemoeilijkt, hebben de getroffen gebruikers
geen besef dat ze hun werkstations opnieuw in gevaar brengen wanneer ze de
documenten openen.
De groep gebruikt achterdeuren en ‘bestanddieven’ om gevoelige
documenten te identificeren en te verzamelen op een gecompromitteerd systeem en
zo op de C&C-server te uploaden. Bovendien hebben deze bestanddieven de
mogelijkheid om willekeurige code uit te voeren vanaf de C&C-server.
Er is wel een belangrijk onderscheid tussen Gamaredon en andere
APT-groepen: de aanvallers doen weinig tot geen moeite om onder de radar te
blijven. Hoewel ze met hun tools discrete technieken kunnen gebruiken, lijkt
het erop dat de groep vooral gericht is op het zich zo ver en zo snel mogelijk
in het netwerk van hun doelwit te verspreiden terwijl ze gegevens proberen te
exfiltreren.
"Hoewel het misbruiken van een aangetaste mailbox om
kwaadwillige mails te verzenden zonder de toestemming van het slachtoffer geen
nieuwe techniek is, geloven we dat dit het eerste openbaar gedocumenteerde
geval is van aanvallers die een OTM-bestand en een Outlook-macro gebruiken om
dit te bereiken", verduidelijkt Boutin over deze ontdekking door ESET.
"We konden tal van verschillende voorbeelden verzamelen van kwaadaardige
scripts, uitvoerbare bestanden en documenten die door de Gamaredon-groep tijdens
hun campagnes werden gebruikt."
De Gamaredon-groep is zeker al sinds 2013 actief. Het was
verantwoordelijk voor een aantal aanvallen vooral gericht op Oekraïense
instellingen.
De tools die in dit onderzoek werden besproken zijn gedetecteerd
als varianten op MSIL/Pterodo, Win32/Pterodo of Win64/Pterodo.
Lees, voor meer technische details over de nieuwste tools van
Gamaredon, de volledige blogpost “Gamaredon
group grows its game”
op WeLiveSecurity.com. Volg ESET Research on Twitter voor het laatste nieuws van ESET Research. Bezoek
eveneens https://www.eset.com/be-nl/