ESET research onderzoekt de Gamaredon APT-groep

ESET-Logo400300_Transparent

Cyberspionage gericht op hooggeplaatste doelen in Oekraïne en NAVO-landen

ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET gelooft dat deze groep samenwerkt met een andere dreigingsactor die ESET Research heeft ontdekt en InvisiMole heeft genoemd. De meeste cyberspionage-aanvallen van Gamaredon zijn gericht op Oekraïense overheidsinstellingen. In april 2022 en februari 2023 zag ESET echter ook enkele pogingen om doelen in verschillende NAVO-landen te compromitteren, namelijk Bulgarije, Letland, Litouwen en Polen, maar er werden geen succesvolle inbreuken waargenomen.

Gamaredon maakt gebruik van steeds voortdurend veranderende versluieringstechnieken en talrijke technieken die worden gebruikt om domeingebaseerde blokkering te omzeilen. Deze tactieken vormen een aanzienlijke uitdaging voor het traceren van de groep, omdat ze het moeilijker maken voor systemen om de tools van de groep automatisch te detecteren en te blokkeren. Desondanks zijn ESET-onderzoekers er tijdens het onderzoek in geslaagd om deze tactieken te identificeren en te begrijpen en om de activiteiten van Gamaredon te volgen. De groep heeft zijn schadelijke tools methodisch ingezet tegen zijn doelwitten ruim voordat de invasie van 2022 begon. Om nieuwe slachtoffers te compromitteren, voert Gamaredon spearphishing-campagnes uit en gebruikt vervolgens zijn aangepaste malware om Word-documenten en USB-drives die toegankelijk zijn voor het eerste slachtoffer te bewapenen, in de verwachting dat ze worden gedeeld met andere potentiële slachtoffers.

In 2023 heeft Gamaredon zijn cyberspionagecapaciteiten aanzienlijk verbeterd en verschillende nieuwe tools in PowerShell ontwikkeld, met de focus op het stelen van waardevolle gegevens - van e-mailclients, instant messaging-applicaties zoals Signal en Telegram, en webapplicaties die in internetbrowsers draaien. PteroBleed, een infostealer die ESET in augustus 2023 ontdekte, richt zich echter ook op het stelen van gegevens met betrekking tot een Oekraïens militair systeem - en van de webmailservice die wordt gebruikt door een Oekraïense overheidsinstelling.

"In tegenstelling tot de meeste APT-groepen probeert Gamaredon niet onopvallend te zijn en zo lang mogelijk verborgen te blijven door nieuwe technieken te gebruiken tijdens het uitvoeren van cyberspionage-operaties, maar de operators zijn roekeloos en vinden het niet erg om tijdens hun activiteiten ontdekt te worden door verdedigers. Hoewel ze het niet erg vinden om op te vallen, doen ze toch veel moeite om niet geblokkeerd te worden door beveiligingsproducten en doen ze erg hun best om toegang te houden tot gecompromitteerde systemen”, verklaart ESET-onderzoeker Zoltán Rusnák, die onderzoek deed naar Gamaredon.

“Meestal probeert Gamaredon zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors tegelijkertijd in te zetten. Het gebrek aan geavanceerdheid van de tools van Gamaredon wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende versluiering,” voegt Rusnák toe. “Ondanks de relatieve eenvoud van de tools, maken de agressieve aanpak en hardnekkigheid van Gamaredon het een belangrijke dreiging. Gezien de voortdurende oorlog in de regio verwachten we dat Gamaredon zich zal blijven richten op Oekraïne,” concludeert hij.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools en activiteiten van Gamaredon, bekijk dan hier het nieuwste ESET Research whitepaper “Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023” op WeLiveSecurity.com. 

Zevendaags voortschrijdend gemiddelde van unieke machines aangevallen in Oekraïne 

 

 

Lees ook
Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.

Proofpoint: rechtshandhaving verstoort LockBit

Proofpoint: rechtshandhaving verstoort LockBit

Het wereldwijde rechtshandhavingsinitiatief voor het verstoren van ransomware-operaties, onder leiding van het Verenigd Koninkrijk en de Verenigde Staten, is goed nieuws voor cyberverdedigers en organisaties die nog steeds last hebben van de gevolgen van LockBit-infecties.

"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint

"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint

Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.