NSA: Turla-groep kaapte infrastructuur andere APT-groep
Een Advanced Persistent Threat (APT)-groep genaamd Turla die voor de Russische overheid zou werken heeft de infrastructuur, malware en tools van een andere APT-groep gekaapt die voor de Iraanse overheid werkzaam zou zijn, zo stellen de Amerikaanse en Britse overheid in een gezamenlijk rapport.
APT-groepen zijn volgens securitybedrijven en onderzoekers vaak statelijke actoren of groepen die in dienst van een land opereren. De Amerikaanse geheime dienst NSA en het Britse National Cyber Security Centre (NCSC) stellen dat ze de Turla-groep malware en tools van een vermeende Iraanse APT hebben zien gebruiken. "Turla testte de tools eerst tegen slachtoffers die ze al hadden gecompromitteerd via hun Snake-toolkit, en rolde de Iraanse tools vervolgens uit naar andere slachtoffers", aldus het rapport.
De Turla-groep zou ook actief hebben gezocht naar de backdoors van de andere APT-groep om zo toegang tot systemen van potentieel interessante doelwitten te krijgen. Het ging om webshells die door de Iraanse APT-groep waren geïnstalleerd, maar door Turla werden gebruikt om nieuwe slachtoffers te maken. Tevens wist Turla de command & control-infrastructuur van de Iraanse APT-groep te compromitteren om zo hun eigen tools en malware te verspreiden.
Volgens de NSA en het NCSC paste de Turla-groep deze werkwijze voornamelijk toe in het Midden-Oosten, waar de interesses van beide APT-groepen elkaar zouden overlappen. "Hoewel attributie van aanvallen en het auteurschap van tools erg lastig te bewijzen kan zijn, laat het bewijsmateriaal zien dat Turla toegang tot Iraanse tools had en de mogelijkheid om ze voor hun eigen doeleinden te gebruiken", zo stellen beide overheidsdiensten, die opmerken dat de Iraanse APT hier bijna zeker niets van afwist.
Als malware analyst, die dagelijke bezig is met onderzoeken van APT's kan ik je bevestigen dat de bevindingen kloppen.
Interessante achtergrond-info om kennis van te nemen:
https://www.baesystems.com/en/cybersecurity/feature/the-snake-campaign
Gebruik van dit Python toolkit plug-in systeem voor kwaadaardig gebruik.
Dit staat ook bekend onder de naam, Agent.BTZ malware, de Autorun worm,
die via pendrives infecteert, Pendrives hier meer bekend zijnd als usb sticks.
Een bron van inspiratie voor cyber-agenten en cybercriminele minkukels:
https://www.f-secure.com/v-descs/worm_w32_agent_btz.shtml
Uiteindelijk belandt zulk "APTgereedschap" weer bij de cybercriminelen,
o.a. ransomeware verspreiders, (net als via het combineren van
het bij een NSA breach ontsnapte EternalBlue en het door een researcher ontwikkelde MimiKatz).
En zo is dan het onveiligheidskringetje dan wel weer rondgebreid.
Het schoonmaken van de MBR puinhoop, als je wil betalen aan de cybercrimineel,
kost je 300 euro in Bitcoin. Maar moeilijke keus als je met rug tegen de muur staat?
Back-upjes maken kost iets minder.
C:\Windows\ sysWow64.cmd.exe via specifieke command prompts checken ook.
We hebben erkende malware fighters nu meer nodig dan ooit.
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
