Onderzoekers ontdekken langdurige cyberspionage-capmaign

Beveiligingsonderzoekers hebben onlangs informatie onthuld over een langdurige cyberspionagecampagne gericht op bedrijven in de brandstofindustrie over de hele wereld. De campagne was gericht op het vermijden van detectie op de lange termijn en het plaatsen van trojans voor externe toegang op de slachtoffernetwerken met als doel duurzame gegevensonderdrukking en spionage.

Onderzoekers van beveiligingsbedrijf Intezer onthulden dat kwaadwillenden nauw gerichte spear-phishing-e-mailcampagnes hadden gebruikt die trojan-payloads voor externe toegang als kwaadaardige bijlagen bevatten. Het bereik van RAT-malware die in de campagne werd gebruikt, varieerde enorm en omvat beruchte namen als Agent Tesla, Loki en AZORult. Die tools hebben de mogelijkheid om zowel gevoelige informatie als browserlogins te stelen, maar ook om toetsaanslagen te loggen.

De campagne is bijna volledig gericht op olie- en gasbedrijven, maar er zijn een paar gerichte uitschieters in de IT- en mediasector. Vreemd genoeg is de meerderheid van de bedrijven die het doelwit zijn gevestigd in Zuid-Korea, met andere doelwitten over de hele wereld, waaronder Europa en de VS, evenals de Verenigde Arabische Emiraten.

Onderzoekers merkten ook op dat een van de doelen in de kwaadaardige campagne duidelijk anders was dan de rest. De vreemde eend in de bijt heet FEBC en is een radio-omroeporganisatie in Zuid-Korea, die volgens de onderzoekers van Intezer het religieuze verbod in de noordbuur van het land wil ondermijnen.

De spear-phishing-e-mails maken gebruik van vervalste afzendervelden en zijn gemaakt om eruit te zien alsof ze echt afkomstig zijn van adressen en bedrijven die bekend zijn bij de slachtoffers. Sommige van de e-mails gebruikten typosquatted-domeinen - een domein met een enkel teken dat verschilt van het legitieme, bijvoorbeeld een punt vervangen door een streepje of een "L" verwisseld met een 1.

De inhoud van de kwaadaardige e-mails bevat meestal wat lijkt op een legitiem zakelijk aanbod. De payloads bevinden zich in nep-PDF-bestanden die in werkelijkheid .cab-archieven of .iso-afbeeldingen zijn. Intezer wees er ook op dat de payload wordt geïmplementeerd met behulp van bestandsloze technieken, die rechtstreeks in het systeemgeheugen worden geïmplementeerd zonder dat er bestanden op de harde schijf achterblijven die potentiële verdedigingen kunnen uitschakelen.

Intezer wees er ook op dat de e-mails bijzonder goed waren qua opmaak en dat er veel zorg is besteed om ze eruit te laten zien als legitieme zakelijke correspondentie. Er zijn veel kleine details in de tekst van die e-mails die aangeven dat de dreigingsactor hierachter geen amateur is en een zeer goed begrip heeft van hoe legitieme, spraakmakende zakelijke correspondentie eruitziet.