Europese diplomaten doelwit van ongrijpbare cybercrimegroepering Ke3chang

Nieuwe versies van malwarefamilies zijn ontdekt die gelinkt zijn aan de ongrijpbare Ke3chang-groep. Ook is een niet gerapporteerde backdoor geïdentificeerd die wordt toegeschreven aan de groep.

Dit meldt ESET, dat de APT-groep die vermoedelijk vanuit China handelt, al jaren volgt. De nieuw ontdekte backdoor, door ESET Okrum benoemd, werd voor het eerst gedetecteerd tegen eind 2016 en gedurende 2017. Het werd gebruikt om diplomatische missies en regeringsinstituties in België, Slowakije, Brazilië, Chili en Guatemala aan te vallen.

Interesse in Slowakije, Kroatië en Tsjechië

In onderzoek dat teruggaat naar 2015 heeft ESET nieuwe verdachte activiteiten gedetecteerd in Europese landen. De groep achter de aanvallen lijkt een sterke interesse te hebben in Slowakije, maar andere landen, waaronder Kroatië en Tsjechië, zijn ook slachtoffer geworden. Tijdens het analyseren van de malware gebruikt in deze aanvallen hebben ESET-onderzoekers dit gelinkt aan bekende malwarefamilies die toegekend worden aan de Ke3chang-groep. Deze nieuwe versies worden Ketrican genoemd.

Onderzoekers hebben in de tweede helft van 2016 een nieuwe, voorheen onbekende backdoor, ontdekt die gericht is op dezelfde doelwitten in Slowakije die ook werden aangevallen middels de Ketrican-backdoors in 2015. De backdoor, welke ze Okrum noemen, bleef gedurende 2017 actief.

'Groep is nog steeds actief'

"We begonnen verbanden te zien toen we ontdekten dat de Okrum-backdoor werd gebruikt om een Ketrican-backdoor achter te laten die in 2017 was samengesteld. Daarbij bleek dat sommige diplomatieke entiteiten die geraakt werden door de Okrum-malware en de 2015 Ketrican backdoors ook slachtoffer werden van de 2017 Ketrican backdoors", zegt Zuzana Hromcova, de ESET-onderzoeker die deze ontdekkingen heeft gedaan. "De groep is in 2019 nog steeds actief – zo ontdekten we in maart een nieuw Ketrican-sample."

Het onderzoek van ESET levert bewijs dat de nieuw ontdekte backdoor tot de Ke3chang-groep behoort. Naast gedeelde doelwitten heeft Okrum ook een soortgelijke modus operandi als eerder vastgelegde Ke3chang-malware. Zo is Okrum alleen in staat eenvoudige backdoor-commands uit te voeren en is het afhankelijk van typing shell commands en uitvoerende externe tools voor de meerderheid van de kwaadaardige activiteiten. Dit was ook de standaard manier van werken van de Ke3chang-groep in hun eerdere campagnes die we onderzochten.

Ondanks dat de malware niet technisch complex is, kunnen we duidelijk zien dat de kwaadaardige actoren achter Okrum probeerden het ongedetecteerd te houden. We hebben meerdere technieken voor detectie-ontwijking geregistreerd in de Okrum-malware.

Payload verstopt in PNG-bestand

De payload zelf is verstopt in een PNG-bestand. Wanneer het bestand wordt geopend met afbeeldingsweergave wordt een onschuldig-uitziende PNG-afbeelding getoond, maar de Okrum-loaders zijn in staat een extra, versleuteld bestaand te plaatsen die de gebruiker niet kan zien.

De malware-operators hebben ook gepoogd om kwaadaardige verkeer binnen het reguliere netwerkverkeer te verstoppen met hun Command and Control-server door ogenschijnlijk legitieme domeinnamen te registreren. “Bijvoorbeeld: de samples gebruikt voor Slowaakse doelwitten communiceerden met een domeinnaam die een Slowaaks navigatieportaal nabootste,” zegt Hromcova.

Verschillende versies helpen detectie te voorkomen

Daarbij hebben de auteurs elke paar maanden de implementatie van de Okrum-loader en installatiecomponenten gewijzigd om detectie te vermijden. Op het moment van schrijven hebben ESET-systemen zeven verschillende versies van het loader-component en twee versies van de installateur ontdekt.

Lees voor een technische analyse en meer informatie over de verbanden de whitepaper Okrum en Ketrican: An overview of recent Ke3chang group activity en het blog Okrum: Ke3chang group targets diplomatic missions op WeLiveSecurity.com.