Cyberspionagegroep Sofacy duikt weer op met nieuwe schadelijke tools

Utrecht, 4 december – Kaspersky Labs Global Research and Analysis Team heeft nieuwe aanvallen door de Sofacy-cyberspionagegroep gedetecteerd. Hierbij wordt gebruik gemaakt van diverse verbeterde technieken, die ontworpen zijn voor aanhoudende agressieve aanvallen en een nog grotere onzichtbaarheid in het aangevallen systeem.
Sofacy (ook bekend als “Fancy Bear”, “Sednit”, “STRONTIUM” en “APT28”) is een Russischtalige geavanceerde dreigingsgroep die minstens sinds 2008 actief is en zich voornamelijk richt op militaire en overheidsinstellingen wereldwijd. Sinds de ontdekking van hun bestaan in 2014, heeft de groep haar activiteiten niet stopgezet. Experts van Kaspersky Lab hebben nieuwe, nog geavanceerdere tools ontdekt in het Sofacy’s arsenaal.
Nieuwe toolset:
- Uitwisselbaar: De aanvallers gebruiken meerdere backdoors om een doel te infecteren met verschillende kwaadaardige tools. Eén dient als een herinfectie-instrument indien een ander wordt geblokkeerd of onschadelijk wordt gemaakt door een beveiligingsoplossing.
- Modulair: De aanvallers maken gebruik van malware-modularisatie. Bepaalde functies van de backdoors worden in afzonderlijke modules geplaatst om hun kwaadaardige activiteit beter te verbergen in het aangevallen systeem. Dit is een steeds populairder wordende trend die experts van Kaspersky Lab regelmatig waarnemen bij gerichte aanvallen.
- Air-gapped: In veel recente aanslagen dit jaar maakte de Sofacy-groep gebruik van een nieuwe versie van haar USB-stelende implantaat. Hiermee konden gegevens gekopieerd worden van zogenoemde air-gapped computers.
Sofacy-aanval: hoe het werkt
Veerkrachtige tactieken en gegevens-exfiltratie
In 2015 werd een organisatie uit de defensie-industrie geraakt door een nieuwe versie van AZZY. Deze backdoor wordt vaak door de Sofacy-groep gebruikt om zich te nestelen in de aangevallen machine om van daaruit vervolgens aanvullende schadelijke tools te downloaden. Producten van Kaspersky Lab blokkeren deze malware met succes, en dat had het einde van het verhaal moeten zijn. Wat vervolgens gebeurde, was echter vrij ongebruikelijk: slechts één uur na het blokkeren van de Trojan was een andere (nieuwere) versie van deze backdoor gecompileerd door de aanvallers en gedownload naar de doelcomputer. Deze versie ontweek reguliere AV-technologieën, maar werd toch dynamisch ontdekt door het host intrusion preventie subsysteem (HIPS).
Deze terugkerende, razendsnelle Sofacy-aanval trok de aandacht van Kaspersky Labs experts, die een nader onderzoek begonnen. Al snel ontdekten ze dat deze nieuwe versie van een backdoor niet werd gedownload via een zero-day exploit (de gebruikelijke praktijk van de Sofacy-groep) maar via een andere implant die na verder onderzoek werd ontdekt (en door de auteurs “msdeltemp.dll” werd genoemd).
De Trojan, “msdeltemp.dll” is een downloader-tool die aanvallers in staat stelt om opdrachten naar de besmette machine te verzenden en er data van te ontvangen. Het kan ook worden gebruikt om een meer verfijnde Trojan te uploaden naar het systeem. Als de secundaire backdoor wordt geblokkeerd door een antivirusproduct, kunnen de aanvallers nog steeds de msdeltemp.dll Trojan gebruiken om een nieuwe versie van de C&C te pakken en deze opnieuw te installeren op de aangevallen machine.
Dit is een voorbeeld van het gebruik van meerdere backdoors. De tactiek zelf is niet nieuw en van Sofacy is bekend dat ze het in het verleden hebben toegepast. Voorheen gebruikten ze echter droppers om te twee backdoors SPLM en AZZY te installeren. Als een ervan werd gedetecteerd, zorgde de andere ervoor dat de aanvaller toegang bleef houden. In de nieuwe golf van aanslagen veranderde hun tactiek: ze downloaden nu een opnieuw gecompileerde versie van AZZY ter vervanging van de geblokkeerde versie, zonder weer door het hele initiële infectieproces te hoeven gaan.
Scheiden C&C en backdoor
Het scheiden van de C&C-communicatiefunctie van de belangrijkste backdoor is ook een manier om de zichtbaarheid van de belangrijkste backdoor te verminderen. Aangezien er niet rechtstreeks gegevens worden verzonden vanuit de aangevallen computer, lijkt het minder verdacht uit een oogpunt van veiligheid.
USB-diefstalmodules
Naast de gewijzigde tactiek hebben deskundigen van Kaspersky Lab verschillende nieuwe versies van de Sofacy USB-diefstalmodules gedetecteerd, waarmee gegevens kunnen worden gestolen uit air-gapped netwerken. De USBSTEALER-module is ontworpen om verwisselbare stations te bekijken en bestanden ervan te verzamelen, afhankelijk van een door de aanvallers vastgestelde set van regels. De gestolen gegevens worden gekopieerd naar een verborgen map, van waaruit ze door de aanvallers kunnen worden geëxfiltreerd met behulp van een van de AZZY-implantaten. De eerste versies van de nieuwe generatie USB-diefstalmodule dateren van februari 2015, en lijken exclusief te zijn gericht op prominente doelwitten
“Wanneer iemand onderzoeksgegevens publiceert naar een bepaalde cyberspionagegroep, reageert de groep meestal: het stopt haar activiteiten of verandert drastisch van tactiek en strategie. Met Sofacy is dit niet altijd het geval. We hebben de groep nu enkele jaren lang aanvallen zien lanceren en hun activiteit is diverse malen gemeld door de beveiligingsgemeenschap. In 2015 nam haar activiteit aanzienlijk toe, met de implementatie van niet minder dan vijf 0-days. Dit maakte Sofacy een van de meest productieve, behendige en dynamische dreigingsactoren op het strijdtoneel. We hebben redenen om aan te nemen dat deze aanvallen zullen voortduren”, zegt Costin Raiu, Director Global Research and Analysis Team bij Kaspersky Lab.
Beschermingsstrategieën
Producten van Kaspersky Lab detecteren enkele van de nieuwe, door Sofacy gebruikte malware samples met de volgende detectienamen: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic.
Om een organisatie te beschermen tegen geavanceerde gerichte aanvallen, waaronder die van Sofacy, adviseert Kaspersky Lab het gebruik van een multi-gelaagde aanpak met een combinatie van:
- Traditionele anti-malware technologieën;
- Patchbeheer;
- Host intrusion-detectie;
- Whitelisting en default-deny strategieën.
Lees meer over de manier waarop producten van Kaspersky Lab kunnen helpen beschermen tegen Sofacy-aanvallen in onze blog.
Lees onze blogpost over de Sofacy-groep op Securelist.com.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.