banners_728x90 



ESET research onderzoekt de Gamaredon APT-groep

ESET-Logo400300_Transparent

Cyberspionage gericht op hooggeplaatste doelen in Oekraïne en NAVO-landen

ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET gelooft dat deze groep samenwerkt met een andere dreigingsactor die ESET Research heeft ontdekt en InvisiMole heeft genoemd. De meeste cyberspionage-aanvallen van Gamaredon zijn gericht op Oekraïense overheidsinstellingen. In april 2022 en februari 2023 zag ESET echter ook enkele pogingen om doelen in verschillende NAVO-landen te compromitteren, namelijk Bulgarije, Letland, Litouwen en Polen, maar er werden geen succesvolle inbreuken waargenomen.

Gamaredon maakt gebruik van steeds voortdurend veranderende versluieringstechnieken en talrijke technieken die worden gebruikt om domeingebaseerde blokkering te omzeilen. Deze tactieken vormen een aanzienlijke uitdaging voor het traceren van de groep, omdat ze het moeilijker maken voor systemen om de tools van de groep automatisch te detecteren en te blokkeren. Desondanks zijn ESET-onderzoekers er tijdens het onderzoek in geslaagd om deze tactieken te identificeren en te begrijpen en om de activiteiten van Gamaredon te volgen. De groep heeft zijn schadelijke tools methodisch ingezet tegen zijn doelwitten ruim voordat de invasie van 2022 begon. Om nieuwe slachtoffers te compromitteren, voert Gamaredon spearphishing-campagnes uit en gebruikt vervolgens zijn aangepaste malware om Word-documenten en USB-drives die toegankelijk zijn voor het eerste slachtoffer te bewapenen, in de verwachting dat ze worden gedeeld met andere potentiële slachtoffers.

In 2023 heeft Gamaredon zijn cyberspionagecapaciteiten aanzienlijk verbeterd en verschillende nieuwe tools in PowerShell ontwikkeld, met de focus op het stelen van waardevolle gegevens - van e-mailclients, instant messaging-applicaties zoals Signal en Telegram, en webapplicaties die in internetbrowsers draaien. PteroBleed, een infostealer die ESET in augustus 2023 ontdekte, richt zich echter ook op het stelen van gegevens met betrekking tot een Oekraïens militair systeem - en van de webmailservice die wordt gebruikt door een Oekraïense overheidsinstelling.

"In tegenstelling tot de meeste APT-groepen probeert Gamaredon niet onopvallend te zijn en zo lang mogelijk verborgen te blijven door nieuwe technieken te gebruiken tijdens het uitvoeren van cyberspionage-operaties, maar de operators zijn roekeloos en vinden het niet erg om tijdens hun activiteiten ontdekt te worden door verdedigers. Hoewel ze het niet erg vinden om op te vallen, doen ze toch veel moeite om niet geblokkeerd te worden door beveiligingsproducten en doen ze erg hun best om toegang te houden tot gecompromitteerde systemen”, verklaart ESET-onderzoeker Zoltán Rusnák, die onderzoek deed naar Gamaredon.

“Meestal probeert Gamaredon zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors tegelijkertijd in te zetten. Het gebrek aan geavanceerdheid van de tools van Gamaredon wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende versluiering,” voegt Rusnák toe. “Ondanks de relatieve eenvoud van de tools, maken de agressieve aanpak en hardnekkigheid van Gamaredon het een belangrijke dreiging. Gezien de voortdurende oorlog in de regio verwachten we dat Gamaredon zich zal blijven richten op Oekraïne,” concludeert hij.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools en activiteiten van Gamaredon, bekijk dan hier het nieuwste ESET Research whitepaper “Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023” op WeLiveSecurity.com. 

Zevendaags voortschrijdend gemiddelde van unieke machines aangevallen in Oekraïne 

 

 

Lees ook
ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET Nederland, kondigt tijdens de  ONE Conference 2024 aan dat het zich heeft aangesloten bij het ransomwarebestrijding samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse andere private partijen. Het ransomwarebestrijding samenwerkingsverband, genaamd ‘M1

Arctic Wolf: 45% van de beveiligingsincidenten vindt buiten werktijd plaats

Arctic Wolf: 45% van de beveiligingsincidenten vindt buiten werktijd plaats

Het aantal cyberaanvallen ligt nog altijd hoger dan de investeringen om ze te voorkomen, ondanks dat securitybudgetten inmiddels recordhoogtes hebben bereikt en het aantal beveiligingstools en -leveranciers toeneemt. Dat blijkt uit het 2024 Security Operations Report vanArctic Wolf.

ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

De afgelopen maanden heeft het Telegram-klikspel Hamster Kombat de wereld van liefhebbers van cryptocurrency-spellen op zijn kop gezet. Zoals te verwachten was, heeft het succes van Hamster Kombat ook cybercriminelen gelokt, die al zijn begonnen met het inzetten van malware gericht op de spelers van het spel.