ESET-onderzoeksrapport over de overheidssector, opgesteld met de Europese Commissie, CERN en Europol, gepresenteerd op “ESET European Cybersecurity Day”
APT-groepen met geëvolueerde tools
Het ESET-rapport over de overheidssector onderzoekt het dreigingslandschap dat APT-actoren oprichten en benadrukt zijn complexe aard door een exclusieve blik op EmissarySoldier, een kwaadaardige campagne gelanceerd door de LuckyMouse APT-groep. Deze gebruikt zijn SysUpdate-toolkit om computers te compromitteren, waarvan sommige de populaire Microsoft SharePoint-applicatie draaien.
Bij LuckyMouse onderzocht ESET de weinig bekende SysUpdate-toolkit, waarvan de eerste voorbeelden in 2018 werden ontdekt. Sindsdien is deze box in verschillende stadia doorgegroeid. De huidige werkwijze van Luckymouse bestaat uit het installeren van zijn loads via een zogenaamd drietandmodel, dat drie componenten gebruikt: een legitieme applicatie, kwetsbaar voor DLL-kaping, een aangepaste DLL die de payload installeert, en een onbewerkte binaire load gecodeerd in Shikata Ga Nai.
Overzicht van het drietandmodel
Daar de modulaire architectuur van SysUpdate zijn operatoren de mogelijkheid biedt de blootstelling van malware naar wens te beperken, hebben ESET-onderzoekers geen kwaadaardige module kunnen vinden en verwachten ze dat dit in hun toekomstige analyses een constante uitdaging zal blijven. Hoe dan ook, in 2020 breidde LuckyMouse zijn activiteiten uit, blijkbaar door een ombouwproces waarbij verschillende functies stapsgewijs werden geïntegreerd in de SysUpdate- toolkit.
De evolutie van de tools die APT-groepen zoals LuckyMouse gebruiken, baart grote zorgen daar regeringen de plicht hebben om de stabiliteit van de burgers en de zakenwereld te verzekeren alsook hun betrokkenheid ten opzichte van andere staten. Deze bestuurstaken worden bedreigd daar LuckyMouse en andere APT-groepen, maar ook staten en hun medewerkers, standaard op populaire samenwerkingsplatforms zoals Microsoft SharePoint en digitale dienstverlening zitten.
Overheid in focus
Tijdens 2020 en 2021 kwamen verschillende onderzoekssamenwerkingen van ESET tot maturiteit, waaronder verbintenissen met onder meer de Europese Organisatie voor Nucleair Onderzoek (CERN), Europol en het Franse Nationale Agentschap voor Cybersecurity (ANSSI). De verschillende standpunten, gedeeld via virtuele events en in het rapport, geven aan dat overheden en hun IT-infrastructuur in feite standaard doelwitten zijn.
Het rapport benadrukt de noodzaak voor technologiespecialisten om regeringen te blijven ondersteunen bij het dichten van veiligheidskloven en het bewaken van de tactieken, technieken en procedures van APT-groepen via de verschillende endpoint detectie- en reactietechnologieën waarover ze beschikken.
Ga naar www.welivesecurity.com om het rapport te downloaden en volg ESET Research on Twitter.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.