image

"Verschillende aanvallers gebruiken zelfde werkwijze"

maandag 15 september 2014, 13:39 door Redactie, 0 reacties

Het Amerikaanse beveiligingsbedrijf FireEye zegt twee verschillende groepen te hebben ontdekt die dezelfde werkwijze lijken te hanteren bij het uitvoeren van aanvallen op organisaties. Het gaat dan om dezelfde tools, technieken en procedures, waaronder op maat gemaakte backdoors.

De aanvallers, die het op defensiebedrijven en hightech-bedrijven zouden hebben voorzien, gebruiken spear phishingmails als voornaamste aanvalsvector. De e-mails zijn in de taal van de aangevallen organisatie opgestelde en bevatten als bijlage een uitvoerbaar bestand in een ZIP-bestand of gebruiken een met wachtwoord beveiligd Microsoft Office-document. Beide groepen gebruiken ook afleidingsdocumenten om slachtoffers die de bijlage hebben geopend niets te laten vermoeden terwijl de malware in de achtergrond draait.

Methodes

De groepen zouden ook dezelfde methodes gebruiken om hun activiteiten te verbergen. Zo controleert de gebruikte malware bijvoorbeeld het aantal core processoren. Als er één core wordt gedetecteerd, wat een aanwijzing voor een sandbox van beveiligingsonderzoekers of anti-virusbedrijven kan zijn, stopt de malware de infectie. Ook worden er grote bestanden via e-mail verstuurd, voorzien van onnodige null bites, om zo netwerkdetectie en virusscanners te omzeilen die geen grote bestanden kunnen scannen.

FireEye zal later nog een uitgebreider rapport over beide groepen publiceren. In de blogposting die nu is verschenen houdt de IT-beveiliger nog een slag om de arm. Zo wordt er vaak gesproken over "mogelijk", "lijkt erop" en "vermoedelijk" om de relatie tussen de aanvallers te beschrijven. Dat geldt ook voor de locatie van de aanvallers. FireEye wijst naar China, maar geeft hiervoor geen harde bewijzen en zegt zelf ook dat het erop lijkt dat de aanvallers vanuit verschillende Chinese provincies opereren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.