Microsoft Outlook en Office doelwit van Gamaredon-groep, rapporteren ESET-onderzoekers – APT groep gebruikt innoverende methodes om hun kwaadaardige payloods verder te verspreiden
“Tijdens de afgelopen paar maanden is de activiteit van deze groep toegenomen. Constante golven van kwaadaardige mails hebben de mailboxen van hun doelen geraakt. De bijlagen bij deze mails zijn documenten met schadelijke macro’s die, wanneer ze worden uitgevoerd, een groot aantal diverse soorten malware proberen te downloaden ”, zegt Jean-Ian Boutin, Head Threat Research bij ESET.
De nieuwste tools injecteren schadelijke macro’s of verwijzingen naar externe sjablonen in bestaande documenten op het aangevallen systeem. Dit is een zeer efficiënte manier is om binnen het netwerk van een organisatie te evolueren, aangezien documenten routinematig met collega’s worden gedeeld. Bovendien, dankzij een speciale functionaliteit die de beveiligingsinstellingen van de Microsoft Office macro’s bemoeilijkt, hebben de getroffen gebruikers geen besef dat ze hun werkstations opnieuw in gevaar brengen wanneer ze de documenten openen.
De groep gebruikt achterdeuren en ‘bestanddieven’ om gevoelige documenten te identificeren en te verzamelen op een gecompromitteerd systeem en zo op de C&C-server te uploaden. Bovendien hebben deze bestanddieven de mogelijkheid om willekeurige code uit te voeren vanaf de C&C-server.
Er is wel een belangrijk onderscheid tussen Gamaredon en andere APT-groepen: de aanvallers doen weinig tot geen moeite om onder de radar te blijven. Hoewel ze met hun tools discrete technieken kunnen gebruiken, lijkt het erop dat de groep vooral gericht is op het zich zo ver en zo snel mogelijk in het netwerk van hun doelwit te verspreiden terwijl ze gegevens proberen te exfiltreren.
“Hoewel het misbruiken van een aangetaste mailbox om kwaadwillige mails te verzenden zonder de toestemming van het slachtoffer geen nieuwe techniek is, geloven we dat dit het eerste openbaar gedocumenteerde geval is van aanvallers die een OTM-bestand en een Outlook-macro gebruiken om dit te bereiken”, verduidelijkt Boutin over deze ontdekking door ESET. “We konden tal van verschillende voorbeelden verzamelen van kwaadaardige scripts, uitvoerbare bestanden en documenten die door de Gamaredon-groep tijdens hun campagnes werden gebruikt.”
Typische compromisketen in een Gamaredon-campagne
De Gamaredon-groep is zeker al sinds 2013 actief. Het was verantwoordelijk voor een aantal aanvallen vooral gericht op Oekraïense instellingen.
De tools die in dit onderzoek werden besproken zijn gedetecteerd als varianten op MSIL/Pterodo, Win32/Pterodo of Win64/Pterodo.
Lees, voor meer technische details over de nieuwste tools van Gamaredon, de volledige blogpost “Gamaredon group grows its game” op WeLiveSecurity.com. Volg ESET Research on Twitter voor het laatste nieuws van ESET Research. Bezoek eveneens https://www.eset.com/be-nl/
Over ESET
Al 30 jaar ontwikkelt ESET® wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET, inmiddels grootste IT-security bedrijf van de Europese Unie, biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie.
ESET beschermt en monitort onopvallend 24/7 en werkt de bescherming in realtime bij om gebruikers veilig te houden en zonder onderbreking te laten werken. De constant veranderende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.