ESET research onderzoekt de Gamaredon APT-groep: Cyberspionage gericht op hooggeplaatste doelen in Oekraïne en NAVO-landen

• ESET Research onderzocht de operaties van de aan Rusland gelieerde advanced persistent threat (APT)-groep Gamaredon, die momenteel de meest actieve APT-groep in Oekraïne is.
• De meeste cyberspionageaanvallen van Gamaredon zijn gericht op Oekraïense overheidsinstellingen.
• ESET zag een paar pogingen om doelen in verschillende NAVO-landen te compromitteren – namelijk Bulgarije, Letland, Litouwen en Polen – maar er werden geen succesvolle inbreuken waargenomen.
• Gamaredon verbeterde met name zijn cyberspionagecapaciteiten en ontwikkelde verschillende nieuwe tools in PowerShell, met een focus op het stelen van waardevolle gegevens – van e-mailclients, instant messaging-applicaties zoals Signal en Telegram, en webapplicaties die in internetbrowsers draaien.
• ESET Research ontdekte PteroBleed, een infostealer die zich ook richt op het stelen van gegevens van Oekraïense militaire systemen.

Sliedrecht, 26 september 2024 –  ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET gelooft dat deze groep samenwerkt met een andere dreigingsactor die ESET Research heeft ontdekt en InvisiMole heeft genoemd. De meeste cyberspionage-aanvallen van Gamaredon zijn gericht op Oekraïense overheidsinstellingen. In april 2022 en februari 2023 zag ESET echter ook enkele pogingen om doelen in verschillende NAVO-landen te compromitteren, namelijk Bulgarije, Letland, Litouwen en Polen, maar er werden geen succesvolle inbreuken waargenomen.

Gamaredon maakt gebruik van steeds voortdurend veranderende versluieringstechnieken en talrijke technieken die worden gebruikt om domeingebaseerde blokkering te omzeilen. Deze tactieken vormen een aanzienlijke uitdaging voor het traceren van de groep, omdat ze het moeilijker maken voor systemen om de tools van de groep automatisch te detecteren en te blokkeren. Desondanks zijn ESET-onderzoekers er tijdens het onderzoek in geslaagd om deze tactieken te identificeren en te begrijpen en om de activiteiten van Gamaredon te volgen. De groep heeft zijn schadelijke tools methodisch ingezet tegen zijn doelwitten ruim voordat de invasie van 2022 begon. Om nieuwe slachtoffers te compromitteren, voert Gamaredon spearphishing-campagnes uit en gebruikt vervolgens zijn aangepaste malware om Word-documenten en USB-drives die toegankelijk zijn voor het eerste slachtoffer te bewapenen, in de verwachting dat ze worden gedeeld met andere potentiële slachtoffers.

In 2023 heeft Gamaredon zijn cyberspionagecapaciteiten aanzienlijk verbeterd en verschillende nieuwe tools in PowerShell ontwikkeld, met de focus op het stelen van waardevolle gegevens – van e-mailclients, instant messaging-applicaties zoals Signal en Telegram, en webapplicaties die in internetbrowsers draaien. PteroBleed, een infostealer die ESET in augustus 2023 ontdekte, richt zich echter ook op het stelen van gegevens met betrekking tot een Oekraïens militair systeem – en van de webmailservice die wordt gebruikt door een Oekraïense overheidsinstelling.

“In tegenstelling tot de meeste APT-groepen probeert Gamaredon niet onopvallend te zijn en zo lang mogelijk verborgen te blijven door nieuwe technieken te gebruiken tijdens het uitvoeren van cyberspionage-operaties, maar de operators zijn roekeloos en vinden het niet erg om tijdens hun activiteiten ontdekt te worden door verdedigers. Hoewel ze het niet erg vinden om op te vallen, doen ze toch veel moeite om niet geblokkeerd te worden door beveiligingsproducten en doen ze erg hun best om toegang te houden tot gecompromitteerde systemen”, verklaart ESET-onderzoeker Zoltán Rusnák, die onderzoek deed naar Gamaredon.

“Meestal probeert Gamaredon zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors tegelijkertijd in te zetten. Het gebrek aan geavanceerdheid van de tools van Gamaredon wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende versluiering,” voegt Rusnák toe. “Ondanks de relatieve eenvoud van de tools, maken de agressieve aanpak en hardnekkigheid van Gamaredon het een belangrijke dreiging. Gezien de voortdurende oorlog in de regio verwachten we dat Gamaredon zich zal blijven richten op Oekraïne,” concludeert hij.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools en activiteiten van Gamaredon, bekijk dan hier het nieuwste ESET Research whitepaper “Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Zevendaags voortschrijdend gemiddelde van unieke machines aangevallen in Oekraïne 

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.