Zeldzame APT-aanval op industriële bedrijven

Nieuwe toolset gebruikt verscheidenheid aan technieken om detectie te omzeilen

| Kaspersky | 4 min | 09 oktober 2020 15:07
Copyright: Kaspersky
Kaspersky ontdekte een reeks zeer gerichte aanvallen op industriële bedrijven die teruggaan tot 2018. Dit is opvallend zeldzaam, aangezien geavanceerde persistente dreigingen (APT) vaker voorkomen bij campagnes tegen diplomaten en andere spraakmakende politieke actoren. De gebruikte toolset wordt door Kaspersky omschreven als ‘MontysThree’, die een verscheidenheid aan technieken gebruikt om detectie te omzeilen. Waaronder het hosten van de communicatie met de controleserver op openbare cloudservices en het verbergen van de belangrijkste kwaadaardige module met behulp van steganografie.

Overheidsinstanties, diplomaten en de telecomsector zijn vaak het doelwit van APT's, aangezien deze personen en instellingen over zeer vertrouwelijke en politiek gevoelige informatie beschikken. Veel zeldzamer zijn gerichte spionagecampagnes tegen industriële entiteiten. Vanwege de verwoestende gevolgen van dergelijke aanvallen, sloeg Kaspersky alarm toen ze de activiteit van MontysThree opmerkten.

MontysThree gebruikt een malwareprogramma dat uit vier modules bestaat, met verschillende technieken om detectie te omzeilen.

Loader

De loader is primair verantwoordelijk om ervoor te zorgen dat de malware niet op het systeem wordt gedetecteerd. Deze wordt in eerste instantie verspreid met behulp van RAR SFX-bestanden die vooral betrekking hebben op de contactlijsten van werknemers, technische documentatie en medische analyseresultaten om werknemers te misleiden bestanden te downloaden - een veel voorkomende spear phishing-techniek.

Gegevensuitwisseling verbergen

Stenografie wordt ingezet als techniek om te verbergen dat er gegevens worden uitgewisseld. In het geval van MontysThree is de belangrijkste kwaadaardige payload vermomd als een bitmap-bestand. Als het juiste commando wordt ingevoerd, gebruikt de loader een op maat gemaakt algoritme om de inhoud van de pixelarray te decoderen en de kwaadaardige payload uit te voeren.

(de)Coderen met RSA-algoritme

De belangrijkste kwaadaardige payload gebruikt verschillende eigen coderingstechnieken om detectie te omzeilen, namelijk het gebruik van een RSA-algoritme om de communicatie met de controleserver te coderen en om de belangrijkste ‘taken’ die door de malware zijn toegewezen, te decoderen. Dit omvat het zoeken naar documenten met specifieke extensies en in specifieke bedrijfsgidsen. MontysThree is ontworpen om zich specifiek te richten op Microsoft- en Adobe Acrobat-documenten; het kan ook screenshots en de ‘vingerafdruk’ (informatie over netwerkinstellingen, host-naam, enz.) van het doelwit vastleggen om te zien of het van belang is voor de aanvallers.

Hosting communicatie op cloudservices

De verzamelde informatie en andere communicatie met de controleserver worden gehost op openbare cloudservices zoals Google, Microsoft en Dropbox. Dit maakt het communicatieverkeer moeilijk te detecteren als kwaadaardig. Daarnaast blokkeert geen enkel antivirus-programma deze services, waardoor de controleserver commando's ononderbroken kan uitvoeren. MontysThree gebruikt ook een methode om persistentie te verkrijgen op het geïnfecteerde systeem: een modificator voor Windows Quick Launch. Gebruikers voeren per ongeluk de initiële module van de malware uit, elke keer dat ze legitieme toepassingen uitvoeren, zoals browsers, wanneer ze de werkbalk Snel starten gebruiken.

Kaspersky heeft geen overeenkomsten in de kwaadaardige code of de infrastructuur kunnen vinden met bekende APT's.

"MontysThree is niet alleen interessant vanwege het feit dat het zich richt op industriële holdings, maar ook vanwege de combinatie van geavanceerde en enigszins amateuristische TTP's. Over het algemeen varieert de verfijning van module tot module, maar het kan niet worden vergeleken met het niveau dat wordt gebruikt door de meest geavanceerde APT's. Ze gebruiken echter sterke cryptografische standaarden en er zijn enkele technisch onderlegde beslissingen genomen, waaronder de aangepaste steganografie. De aanvallers hebben veel moeite hebben gedaan om de MontysThree-toolset te ontwikkelen, wat het vermoeden wekt dat deze niet bedoeld is als een kortstondige campagne”, zegt Denis Legezo, senior beveiligingsonderzoeker bij Kaspersky's wereldwijde onderzoeks- en analyseteam.

Lees meer over MontysThree op Securelist. Gedetailleerde informatie over Indicators of Compromise met betrekking tot deze groep, inclusief hashes van bestanden, is beschikbaar op de Kaspersky Threat Intelligence Portal.
Registreer u voor SAS @ Home om de presentatie over MontysThree te bekijken en leer meer over APT's en ontdekkingen op het gebied van cyberbeveiliging hier: https://kas.pr/tr59


Om uw organisaties te beschermen tegen aanvallen zoals MontysThree, raden Kaspersky-experts het volgende aan:
  • Geef uw personeel een basistraining op het gebied van cyberbeveiliging, aangezien veel gerichte aanvallen beginnen met phishing of andere social engineering-technieken. Voer een gesimuleerde phishing-aanval uit om ervoor te zorgen dat ze weten hoe ze phishing-e-mails kunnen onderscheiden.
  • Geef uw SOC-team toegang tot de nieuwste Threat Intelligence (TI). De Kaspersky Threat Intelligence Portal is een centraal toegangspunt voor de TI van het bedrijf en biedt cyberaanvalgegevens en inzichten die Kaspersky gedurende meer dan 20 jaar heeft verzameld.
  • Implementeer EDR-oplossingen, zoals Kaspersky Endpoint Detection and Response voor detectie op endpointniveau, onderzoek en tijdige remediëring van incidenten.
  • Implementeer niet alleen essentiële eindpuntbescherming, maar implementeer ook een beveiligingsoplossing op bedrijfsniveau die geavanceerde bedreigingen in een vroeg stadium op netwerkniveau detecteert, zoals Kaspersky Anti Targeted Attack Platform.
Zorg ervoor dat u zowel industriële als zakelijke eindpunten beschermt. De Kaspersky Industrial CyberSecurity-oplossing omvat speciale bescherming voor endpoints en netwerkbewaking om verdachte en potentieel kwaadaardige activiteiten in het industriële netwerk aan het licht te brengen.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Kaspersky
Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030101402.jpg
De grootste Nederlandse site over Android
20191030103431.png
Conference by app developers, for app developers!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.