Uit een recente analyse van cyberbeveiligingsbedrijven Symantec en Carbon Black blijkt dat aan Rusland gelieerde dreigingsactoren geavanceerde campagnes hebben gevoerd tegen Oekraïense entiteiten door te vertrouwen op technieken om van het land te leven en minimale malware. Deze operaties waren gericht op een grote zakelijke dienstverlener gedurende twee maanden en een lokale overheidsinstantie gedurende een week, volgens de bevindingen.
De aanvallen begonnen met de inzet van webshells op openbare servers binnen het netwerk van de bedrijfsorganisatie, waarschijnlijk na de exploitatie van een of meer niet-gepatchte kwetsbaarheden. Toen de toegang eenmaal tot stand was gebracht, gebruikten de aanvallers native tools zoals PowerShell om detectie te omzeilen, geplande taken in te stellen en elke dertig minuten geheugendumps te maken.
Een van de tools die door de indringers werden gebruikt, was ‘LocalOlive’, een webshell die eerder werd toegeschreven aan een subgroep van het aan Rusland gelieerde Sandworm-team binnen wat bekend staat als de BadPilot-campagne. Ondanks dit verband hebben onderzoekers nog geen definitief bewijs gevonden dat de campagne deel uitmaakt van de activiteiten van Sandworm.
De aanvallers voerden ook opdrachten uit om lopende processen op te sommen die beginnen met “kee”, wat suggereert dat ze zich waarschijnlijk richtten op de KeePass-wachtwoordbeheerkluis. Vervolgens installeerden ze software zoals OpenSSH, wijzigden ze de regels voor netwerkverkeer, creëerden ze geplande taken voor backdoors en introduceerden ze een legitieme routerbeheertool met de naam “winbox64.exe” om kwaadaardige activiteiten te maskeren.
Deze operatie past in een breder patroon van e-criminaliteit van Russische oorsprong, waarbij bedreigingsactoren minimale voetafdrukken gebruiken en sterk vertrouwen op legitieme systeemtools in plaats van voor de hand liggende malware. Het doel lijkt eerder aanhoudende toegang en gegevensdiefstal te zijn dan onmiddellijke verstoring. De onderzoekers beschrijven hoe aanvallers diepgaande kennis van het Windows-ecosysteem kunnen gebruiken om in te breken, lateraal te bewegen, inloggegevens te stelen en detectie voor langere perioden te voorkomen.
Het rapport merkt op dat een van de belangrijkste uitdagingen bij het reageren op dergelijke aanvallen het gebruik van native hulpprogramma’s is in plaats van aangepaste exploit-binaries. Wanneer bewerkingen worden uitgevoerd met behulp van tools die al in de omgeving aanwezig zijn, kunnen ze veel traditionele endpoint-beveiligingsoplossingen omzeilen die zich richten op het detecteren van externe bedreigingen of bekende malware.
Hoewel de analyse geen specifieke criminele actor of dreigingsgroep met zekerheid identificeerde, suggereert het bewijs dat een in Rusland gevestigde organisatie, of ten minste een die vanuit die regio opereert, waarschijnlijk achter de campagne zit. Deskundigen waarschuwen dat naarmate de druk van wetshandhaving en inlichtingendiensten toeneemt, deze dreigingsactoren steeds meer als bedrijven opereren, tools voor tweeërlei gebruik gebruiken en een minimale voetafdruk aannemen om onder de detectiedrempels te blijven.
Voor organisaties die actief zijn in Oekraïne en daarbuiten, onderstreept het incident het belang van het monitoren van het gebruik van native tools, het herzien van geplande taken en het controleren van protocollen voor externe toegang. Verdedigingsteams moeten ervan uitgaan dat aanvallers zich mogelijk al binnen hun netwerken bevinden en legitieme systeemtools gebruiken om gegevens te bemonsteren en stilletjes te bewegen. Het uitvoeren van snel kwetsbaarheidsbeheer, gedragsmonitoring en verbeterde logging is essentieel om deze onopvallende campagnes te voorkomen of te detecteren.
Deze bevindingen komen naarmate het landschap van cyberdreigingen evolueert, met een toenemende overlap tussen operaties van natiestaten en georganiseerde misdaad. Hoewel deze specifieke campagne gericht lijkt te zijn op diefstal in plaats van onmiddellijke sabotage, kunnen dezelfde tactieken worden toegepast op kritieke infrastructuur, toeleveringsketens of sectoren waar aanhoudende toegang zeer gewaardeerd wordt.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.