ESET research onderzoekt de Gamaredon APT-groep

ESET-Logo400300_Transparent

Cyberspionage gericht op hooggeplaatste doelen in Oekraïne en NAVO-landen

ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET gelooft dat deze groep samenwerkt met een andere dreigingsactor die ESET Research heeft ontdekt en InvisiMole heeft genoemd. De meeste cyberspionage-aanvallen van Gamaredon zijn gericht op Oekraïense overheidsinstellingen. In april 2022 en februari 2023 zag ESET echter ook enkele pogingen om doelen in verschillende NAVO-landen te compromitteren, namelijk Bulgarije, Letland, Litouwen en Polen, maar er werden geen succesvolle inbreuken waargenomen.

Gamaredon maakt gebruik van steeds voortdurend veranderende versluieringstechnieken en talrijke technieken die worden gebruikt om domeingebaseerde blokkering te omzeilen. Deze tactieken vormen een aanzienlijke uitdaging voor het traceren van de groep, omdat ze het moeilijker maken voor systemen om de tools van de groep automatisch te detecteren en te blokkeren. Desondanks zijn ESET-onderzoekers er tijdens het onderzoek in geslaagd om deze tactieken te identificeren en te begrijpen en om de activiteiten van Gamaredon te volgen. De groep heeft zijn schadelijke tools methodisch ingezet tegen zijn doelwitten ruim voordat de invasie van 2022 begon. Om nieuwe slachtoffers te compromitteren, voert Gamaredon spearphishing-campagnes uit en gebruikt vervolgens zijn aangepaste malware om Word-documenten en USB-drives die toegankelijk zijn voor het eerste slachtoffer te bewapenen, in de verwachting dat ze worden gedeeld met andere potentiële slachtoffers.

In 2023 heeft Gamaredon zijn cyberspionagecapaciteiten aanzienlijk verbeterd en verschillende nieuwe tools in PowerShell ontwikkeld, met de focus op het stelen van waardevolle gegevens - van e-mailclients, instant messaging-applicaties zoals Signal en Telegram, en webapplicaties die in internetbrowsers draaien. PteroBleed, een infostealer die ESET in augustus 2023 ontdekte, richt zich echter ook op het stelen van gegevens met betrekking tot een Oekraïens militair systeem - en van de webmailservice die wordt gebruikt door een Oekraïense overheidsinstelling.

"In tegenstelling tot de meeste APT-groepen probeert Gamaredon niet onopvallend te zijn en zo lang mogelijk verborgen te blijven door nieuwe technieken te gebruiken tijdens het uitvoeren van cyberspionage-operaties, maar de operators zijn roekeloos en vinden het niet erg om tijdens hun activiteiten ontdekt te worden door verdedigers. Hoewel ze het niet erg vinden om op te vallen, doen ze toch veel moeite om niet geblokkeerd te worden door beveiligingsproducten en doen ze erg hun best om toegang te houden tot gecompromitteerde systemen”, verklaart ESET-onderzoeker Zoltán Rusnák, die onderzoek deed naar Gamaredon.

“Meestal probeert Gamaredon zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors tegelijkertijd in te zetten. Het gebrek aan geavanceerdheid van de tools van Gamaredon wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende versluiering,” voegt Rusnák toe. “Ondanks de relatieve eenvoud van de tools, maken de agressieve aanpak en hardnekkigheid van Gamaredon het een belangrijke dreiging. Gezien de voortdurende oorlog in de regio verwachten we dat Gamaredon zich zal blijven richten op Oekraïne,” concludeert hij.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools en activiteiten van Gamaredon, bekijk dan hier het nieuwste ESET Research whitepaper “Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023” op WeLiveSecurity.com. 

Zevendaags voortschrijdend gemiddelde van unieke machines aangevallen in Oekraïne 

 

 

Lees ook
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol

Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol

Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1

Rechter oordeelt over nalatigheid bij fraude met internetbankieren

Rechter oordeelt over nalatigheid bij fraude met internetbankieren

De nieuwe uniforme veiligheidsregels voor online bankieren moeten duidelijkheid geven. Financieel consulent Peter Beszelsen waarschuwde echter in een column in De Telegraaf dat slachtoffers van fraude met internetbankieren voortaan zelf moeten bewijzen dat zij zich aan de regels van banken hebben gehouden. Minister van Financiën Jeroen Dijsselbloe1

Kant-en-klare ransomware te koop voor slechts 100 dollar

Kant-en-klare ransomware te koop voor slechts 100 dollar

Een nieuwe vorm van ransomware is te koop op internet voor slechts 100 dollar. Het gaat om Power Locker, een alternatief voor de beruchte ransomware CryptoLocker. Power Locker, ook wel Prison Locker genoemd, is te koop op ondergrondse marktplaatsen voor cybercriminelen. Al langer is duidelijk dat cybercriminelen op internet allerlei kant-en-klare1