Kaspersky: Industriebedrijven doelwit van zeldzame APT-aanval
11-10-2020 | door: Wouter Hoeffnagel

Kaspersky: Industriebedrijven doelwit van zeldzame APT-aanval

Een reeks zeer gerichte aanvallen op industriële bedrijven is ontdekt door Kaspersky die teruggaan tot 2018. Dit is opvallend zeldzaam, aangezien geavanceerde persistente dreigingen (APT) vaker voorkomen bij campagnes tegen diplomaten en andere spraakmakende politieke actoren. De gebruikte toolset wordt door Kaspersky omschreven als ‘MontysThree’, die een verscheidenheid aan technieken gebruikt om detectie te omzeilen. Waaronder het hosten van de communicatie met de controleserver op openbare cloudservices en het verbergen van de belangrijkste kwaadaardige module met behulp van steganografie.

Overheidsinstanties, diplomaten en de telecomsector zijn vaak het doelwit van APT's, aangezien deze personen en instellingen over zeer vertrouwelijke en politiek gevoelige informatie beschikken. Veel zeldzamer zijn gerichte spionagecampagnes tegen industriële entiteiten. MontysThree gebruikt een malwareprogramma dat uit vier modules bestaat, met verschillende technieken om detectie te omzeilen.

Loader

De loader is primair verantwoordelijk om ervoor te zorgen dat de malware niet op het systeem wordt gedetecteerd. Deze wordt in eerste instantie verspreid met behulp van RAR SFX-bestanden die vooral betrekking hebben op de contactlijsten van werknemers, technische documentatie en medische analyseresultaten om werknemers te misleiden bestanden te downloaden - een veel voorkomende spear phishing-techniek.

Stenografie wordt ingezet als techniek om te verbergen dat er gegevens worden uitgewisseld. In het geval van MontysThree is de belangrijkste kwaadaardige payload vermomd als een bitmap-bestand. Als het juiste commando wordt ingevoerd, gebruikt de loader een op maat gemaakt algoritme om de inhoud van de pixelarray te decoderen en de kwaadaardige payload uit te voeren.

(de)Coderen met RSA-algoritme

De belangrijkste kwaadaardige payload gebruikt verschillende eigen coderingstechnieken om detectie te omzeilen, namelijk het gebruik van een RSA-algoritme om de communicatie met de controleserver te coderen en om de belangrijkste ‘taken’ die door de malware zijn toegewezen, te decoderen. Dit omvat het zoeken naar documenten met specifieke extensies en in specifieke bedrijfsgidsen.

MontysThree is ontworpen om zich specifiek te richten op Microsoft- en Adobe Acrobat-documenten; het kan ook screenshots en de ‘vingerafdruk’ (informatie over netwerkinstellingen, host-naam, enz.) van het doelwit vastleggen om te zien of het van belang is voor de aanvallers.

Hosting communicatie op cloudservices

De verzamelde informatie en andere communicatie met de controleserver worden gehost op openbare cloudservices zoals Google, Microsoft en Dropbox. Dit maakt het communicatieverkeer moeilijk te detecteren als kwaadaardig. Daarnaast blokkeert geen enkel antivirus-programma deze services, waardoor de controleserver commando's ononderbroken kan uitvoeren. MontysThree gebruikt ook een methode om persistentie te verkrijgen op het geïnfecteerde systeem: een modificator voor Windows Quick Launch. Gebruikers voeren per ongeluk de initiële module van de malware uit, elke keer dat ze legitieme toepassingen uitvoeren, zoals browsers, wanneer ze de werkbalk Snel starten gebruiken.

Kaspersky heeft geen overeenkomsten in de kwaadaardige code of de infrastructuur kunnen vinden met bekende APT's.

"MontysThree is niet alleen interessant vanwege het feit dat het zich richt op industriële holdings, maar ook vanwege de combinatie van geavanceerde en enigszins amateuristische TTP's (Tactieken,
Technieken en Procedures). Over het algemeen varieert de verfijning van module tot module, maar het kan niet worden vergeleken met het niveau dat wordt gebruikt door de meest geavanceerde APT's. Ze gebruiken echter sterke cryptografische standaarden en er zijn enkele technisch onderlegde beslissingen genomen, waaronder de aangepaste steganografie. De aanvallers hebben veel moeite hebben gedaan om de MontysThree-toolset te ontwikkelen, wat het vermoeden wekt dat deze niet bedoeld is als een kortstondige campagne”, zegt Denis Legezo, senior beveiligingsonderzoeker bij Kaspersky's wereldwijde onderzoeks- en analyseteam.

Lees meer over MontysThree op Securelist. Gedetailleerde informatie over Indicators of Compromise met betrekking tot deze groep, inclusief hashes van bestanden, is beschikbaar op de Kaspersky Threat Intelligence Portal.
Registreer u hier voor SAS @ Home om de presentatie over MontysThree te bekijken en leer meer over APT's en ontdekkingen op het gebied van cyberbeveiliging.

Om uw organisaties te beschermen tegen aanvallen zoals MontysThree, raden Kaspersky-experts het volgende aan:

  • Geef uw personeel een basistraining op het gebied van cyberbeveiliging, aangezien veel gerichte aanvallen beginnen met phishing of andere social engineering-technieken. Voer een gesimuleerde phishing-aanval uit om ervoor te zorgen dat ze weten hoe ze phishing-e-mails kunnen onderscheiden.
  • Geef uw SOC-team toegang tot de nieuwste Threat Intelligence (TI). De Kaspersky Threat Intelligence Portal is een centraal toegangspunt voor de TI van het bedrijf en biedt cyberaanvalgegevens en inzichten die Kaspersky gedurende meer dan 20 jaar heeft verzameld.
  • Implementeer EDR-oplossingen, zoals Kaspersky Endpoint Detection and Response voor detectie op endpointniveau, onderzoek en tijdige remediëring van incidenten.
  • Implementeer niet alleen essentiële eindpuntbescherming, maar implementeer ook een beveiligingsoplossing op bedrijfsniveau die geavanceerde bedreigingen in een vroeg stadium op netwerkniveau detecteert, zoals Kaspersky Anti Targeted Attack Platform.
  • Zorg ervoor dat u zowel industriële als zakelijke eindpunten beschermt. De Kaspersky Industrial CyberSecurity-oplossing omvat speciale bescherming voor endpoints en netwerkbewaking om verdachte en potentieel kwaadaardige activiteiten in het industriële netwerk aan het licht te brengen.
Terug naar nieuws overzicht

Tags

Security
Security