Cybersecurity onderzoekers hebben TunnelSnake blootgelegd, een lopende advanced persistent threat (APT) campagne, die actief is sinds 2019. De APT richtte zich op regionale en diplomatieke organisaties in Azië en Afrika. De aanvallers hebben een voorheen onbekende rootkit ingezet, die de naam Moriya heeft gekregen. Dit stuk malware, met bijna volledige macht over het besturingssysteem, stelde bedreigingsactoren in staat om netwerkverkeer te onderscheppen en kwaadaardige instructies te verbergen die werden gegeven aan de geïnfecteerde organisaties. Dit leidde ertoe dat de aanvallers maandenlang stiekem de controle hadden over de netwerken van de beoogde instanties.
Rootkits
Rootkits zijn kwaadaardige programma's of verzamelingen softwaretools die aanvallers onbeperkte en verborgen toegang geven tot een geïnfecteerde computer. Rootkits zijn berucht om hun onopvallende en ontwijkende manier van werken, omdat ze zich kunnen mengen in de structuur van het besturingssysteem. Dankzij de maatregelen die Microsoft in de loop der jaren heeft genomen om systemen te beschermen, is het succesvol inzetten en uitvoeren van een rootkitcomponent een moeilijke taak geworden, vooral in de Kernel-ruimte, waarbij de meeste Windows-rootkits nu worden ingezet bij opvallende APT-aanvallen, zoals TunnelSnake.
Moriya rootkit
Het onderzoek naar de campagne begon toen Kaspersky een reeks waarschuwingen ontving van detectie van een unieke rootkit binnen het beoogde netwerken. Deze rootkit die de naam Moriya kreeg was bijzonder ontwijkend dankzij twee kenmerken.
Het onderschept en inspecteert netwerkpakketten die onderweg zijn vanuit de adresruimte van de Windows-kernel, een geheugengebied waar de kernel van het besturingssysteem zich bevindt en waar normaal gesproken alleen bevoorrechte en vertrouwde codes draaien. Hierdoor kon de malware de unieke kwaadaardige pakketten die aan het systeem werden geleverd, laten vallen voordat ze werden verwerkt door de netwerkstack van het besturingssysteem.
Zo konden de aanvallers detectie door beveiligingsoplossingen vermijden. De rootkit reikte niet uit naar een server om commando's op te vragen, in tegenstelling tot de meest voorkomende backdoors, maar ontving deze in speciaal gemarkeerde pakketten, vermengd met de bulk van het netwerkverkeer dat de malware inspecteerde. Hierdoor hoefde de rootkit geen Command and Control infrastructuur te onderhouden, wat analyse belemmerde en het moeilijker maakte om de activiteit te traceren.
De architectuur van de Moriya-rootkit
Moriya werd meestal ingezet door kwetsbare webservers binnen de organisaties van de te hacken doelwitten. In één geval infecteerden de aanvallers een server met de China Chopper webshell, een kwaadaardige code die controle op afstand van de getroffen server mogelijk maakt. Gebruikmakend van de toegang die met deze webshell werd verkregen, werd ook de Moriya rootkit ingezet.
Bovendien werd naast de rootkit een set van verschillende tools gebruikt - op maat gemaakt of eerder in gebruik gezien door diverse Chinees-sprekende actoren, waarmee de aanvallers hosts in het lokale netwerk konden scannen, nieuwe doelwitten konden vinden, en een laterale beweging konden uitvoeren om zich naar hen te verspreiden en bestanden te infiltreren.
Connectie Chineestalige groepen
"Hoewel we de campagne niet konden toeschrijven aan een specifieke actor, hebben zowel de doelwitten als de tools die in de APT zijn gebruikt een connectie met bekende Chineestalige groepen, wat erop wijst dat de actor waarschijnlijk ook Chineestalig is. We hebben ook een oudere versie van Moriya gevonden die in 2018 in een op zichzelf staande aanval is gebruikt, wat erop wijst dat de actor ten minste sinds 2018 actief is. Het profiel van de doelwitten en de gebruikte toolset suggereren dat het doel van de actor in deze campagne spionage is, hoewel we dit slechts gedeeltelijk kunnen bevestigen omdat we geen zicht hebben op de daadwerkelijk overgehevelde gegevens", aldus Giampaolo Dedola, senior beveiligingsonderzoeker .
"Terwijl wij ons blijven aanscherpen en beter verdedigen tegen gerichte aanvallen, hebben dreigingsactoren gereageerd door hun strategie te wijzigen. We zien steeds meer geheime campagnes zoals TunnelSnake, waarbij actoren extra stappen ondernemen om zo lang mogelijk onder de radar te blijven, en investeren in hun toolsets, waardoor deze meer op maat gesneden, complexer en moeilijker te detecteren zijn. Tegelijkertijd kunnen, zoals uit onze ontdekking is gebleken, ook zeer verborgen tools worden opgespoord en tegengehouden. Dit is een voortdurende strijd tussen beveiligingsleveranciers en dreigingsactoren. Om die te winnen moeten we als cyberbeveiligingsgemeenschap blijven samenwerken," voegt Mark Lechtik, senior beveiligingsonderzoeker.
Advies
Om uw bedrijf te beschermen tegen geavanceerde aanhoudende dreigingscampagnes zoals deze, raden experts het volgende aan:
- Regelmatige beveiligingsaudits van de IT-infrastructuur van een organisatie om tekortkomingen en kwetsbare systemen aan het licht te brengen.
- Zorg ervoor dat u een betrouwbare oplossing voor de beveiliging van endpoints gebruikt en houd deze altijd up-to-date, zodat deze de nieuwste soorten malware kan detecteren, zoals deze rootkit.
- Installeer anti-APT- en EDR-oplossingen. Hierdoor kunnen bedreigingen worden opgespoord en gedetecteerd, en kunnen incidenten worden onderzocht en tijdig worden verholpen. Bied uw SOC-team toegang tot de nieuwste informatie over bedreigingen en school hen regelmatig bij met professionele training.
Bron: securelist.com, kaspersky.com, kaspersky.nl
Meer info over malware lees je hier
Tips of verdachte activiteiten gezien? Meld het hier.
Malware gerelateerde berichten
'Emotet vs The World Police'
Kaspersky brengt de nieuwste aflevering uit van zijn hacker:HUNTER-serie 'Emotet vs The World Police'. De film onthult de details van een internationale operatie (LadyBird), die resulteerde in de uitschakeling van Emotet, een van de gevaarlijkste botnets en cybercriminele diensten van het afgelopen decennium. De documentaire is te zien onderaan deze pagina of op het Youtube kanaal van Kaspersky. Bekijk de trailer hieronder.
Meer dan tienduizend Facebook accounts in handen van cybercriminelen
Android-malware met de naam 'FlyTrap' heeft tot nu toe meer dan tienduizend slachtoffers gemaakt in meer dan 140 landen. Via social engineering wisten de daders sessiecookies en andere gegevens te stelen en zo toegang te krijgen tot meer dan tienduizend Facebook-accounts. Vervolgens stalen de aanvallers allerlei persoonlijke gegevens en stuurden deze informatie door naar Command & Control servers.
Er staat een voicemail bericht voor u klaar
Er gaat een nieuwe variant van de malware FluBot rond in ons land. In de nieuwe variant zegt de afzender dat er een voicemailbericht voor je klaarstaat. Smartphonegebruikers die op de bijgevoegde link tikken, worden doorgeleid naar een pagina waar hen gevraagd wordt een app te downloaden om het bericht af te luisteren. Net als bij het origineel gaat het om een malafide applicatie waarmee geld naar buitenlandse rekeningen wordt overgemaakt.
Gebruik je Facebook, verwijder dan deze 9 malafide apps
In de Google Play Store zijn meerdere malafide apps ontdekt die in staat zijn om Facebook-gebruikersnamen, wachtwoorden én sessiecookies te onderscheppen, en wel op zo'n manier dat gebruikers niks doorhebben. Het gaat om apps die gezamenlijk meer dan 5,8 miljoen keer zijn gedownload. Hoe werkt deze malware, en om welke apps gaat het? Dat lees je hier.
FluBot-malware gebruikt nu ook WhatsApp om Nederlandse Android gebruikers te infecteren
Het aantal KPN-klanten dat met een piek in het sms-gebruik te maken kreeg is vorige week na de uitbraak van de FluBot-malware sterk gestegen, zo laat de telecomprovider tegenover de media weten. Daarnaast gebruikt de malware nu ook WhatsApp om Nederlandse Android gebruikers te infecteren. KPN is begonnen om klanten die vermoedelijk met de FluBot-malware besmet zijn proactief te waarschuwen.
Qbot volgt Emotet op en is betrokken bij 22 procent van de cyberaanvallen
Toen Emotet eind januari werd stilgelegd door een internationale politieoperatie, rees al snel de vraag: welke malware gaat Emotet opvolgen? Het antwoord is Qbot. Uit actuele cijfers van G DATA CyberDefense, blijkt dat Qbot bij bijna één op de vier cyberaanvallen van het eerste kwartaal betrokken is geweest.