ESET research onderzoekt de Gamaredon APT-groep

ESET-Logo400300_Transparent

Cyberspionage gericht op hooggeplaatste doelen in Oekraïne en NAVO-landen

ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET gelooft dat deze groep samenwerkt met een andere dreigingsactor die ESET Research heeft ontdekt en InvisiMole heeft genoemd. De meeste cyberspionage-aanvallen van Gamaredon zijn gericht op Oekraïense overheidsinstellingen. In april 2022 en februari 2023 zag ESET echter ook enkele pogingen om doelen in verschillende NAVO-landen te compromitteren, namelijk Bulgarije, Letland, Litouwen en Polen, maar er werden geen succesvolle inbreuken waargenomen.

Gamaredon maakt gebruik van steeds voortdurend veranderende versluieringstechnieken en talrijke technieken die worden gebruikt om domeingebaseerde blokkering te omzeilen. Deze tactieken vormen een aanzienlijke uitdaging voor het traceren van de groep, omdat ze het moeilijker maken voor systemen om de tools van de groep automatisch te detecteren en te blokkeren. Desondanks zijn ESET-onderzoekers er tijdens het onderzoek in geslaagd om deze tactieken te identificeren en te begrijpen en om de activiteiten van Gamaredon te volgen. De groep heeft zijn schadelijke tools methodisch ingezet tegen zijn doelwitten ruim voordat de invasie van 2022 begon. Om nieuwe slachtoffers te compromitteren, voert Gamaredon spearphishing-campagnes uit en gebruikt vervolgens zijn aangepaste malware om Word-documenten en USB-drives die toegankelijk zijn voor het eerste slachtoffer te bewapenen, in de verwachting dat ze worden gedeeld met andere potentiële slachtoffers.

In 2023 heeft Gamaredon zijn cyberspionagecapaciteiten aanzienlijk verbeterd en verschillende nieuwe tools in PowerShell ontwikkeld, met de focus op het stelen van waardevolle gegevens - van e-mailclients, instant messaging-applicaties zoals Signal en Telegram, en webapplicaties die in internetbrowsers draaien. PteroBleed, een infostealer die ESET in augustus 2023 ontdekte, richt zich echter ook op het stelen van gegevens met betrekking tot een Oekraïens militair systeem - en van de webmailservice die wordt gebruikt door een Oekraïense overheidsinstelling.

"In tegenstelling tot de meeste APT-groepen probeert Gamaredon niet onopvallend te zijn en zo lang mogelijk verborgen te blijven door nieuwe technieken te gebruiken tijdens het uitvoeren van cyberspionage-operaties, maar de operators zijn roekeloos en vinden het niet erg om tijdens hun activiteiten ontdekt te worden door verdedigers. Hoewel ze het niet erg vinden om op te vallen, doen ze toch veel moeite om niet geblokkeerd te worden door beveiligingsproducten en doen ze erg hun best om toegang te houden tot gecompromitteerde systemen”, verklaart ESET-onderzoeker Zoltán Rusnák, die onderzoek deed naar Gamaredon.

“Meestal probeert Gamaredon zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors tegelijkertijd in te zetten. Het gebrek aan geavanceerdheid van de tools van Gamaredon wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende versluiering,” voegt Rusnák toe. “Ondanks de relatieve eenvoud van de tools, maken de agressieve aanpak en hardnekkigheid van Gamaredon het een belangrijke dreiging. Gezien de voortdurende oorlog in de regio verwachten we dat Gamaredon zich zal blijven richten op Oekraïne,” concludeert hij.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools en activiteiten van Gamaredon, bekijk dan hier het nieuwste ESET Research whitepaper “Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023” op WeLiveSecurity.com. 

Zevendaags voortschrijdend gemiddelde van unieke machines aangevallen in Oekraïne 

 

 

Lees ook
Cloudflare en Booz Allen Hamilton leveren Rapid Incident Response voor bedrijven die worden aangevallen

Cloudflare en Booz Allen Hamilton leveren Rapid Incident Response voor bedrijven die worden aangevallen

Cloudflare heeft een samenwerking bekendgemaakt met Booz Allen Hamilton, om bedrijven die worden aangevallen te ondersteunen door snelle Under Attack as a Service (UAaaS) te bieden met 30-dagen Rapid Response DDoS Mitigation

Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.