ESET Research onderzocht de activiteiten van Gamaredon, een aan Rusland gelinkte APT-groep die ten minste sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon is door de Oekraïnse Veiligheidsdienst (SSU) toegeschreven aan het Russische 18e Centrum voor Informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET Research, die het ontdekte en InvisiMole noemde, gelooft dat deze groep samenwerkt met een andere bedreigingsactor.
· ESET Research onderzocht de activiteiten van Gamaredon, de aan Rusland gelinkte geavanceerde persistente dreigingsgroep (APT), momenteel de meest betrokken APT-groep in Oekraïne.
· Het merendeel van de cyberspionage-aanvallen van Gamaredon is gericht tegen Oekraïense overheidsinstellingen.
· ESET zag enkele pogingen om doelen in verschillende NAVO-landen in gevaar te brengen – namelijk in Bulgarije, Letland, Litouwen en Polen – maar er werden geen succesvolle inbreuken waargenomen.
· Gamaredon heeft zijn talent voor cyberspionage aanzienlijk verbeterd en ontwikkelde heel wat nieuwe tools in PowerShell, met als doel het stelen van waardevolle gegevens van e-mailklanten, instant messaging-apps zoals Signal en Telegram, en webapps die in internetbrowsers draaien.
· ESET Research ontdekte PteroBleed, een infostealer die zich richt op het stelen van gegevens uit het Oekraïense militaire systeem.
BRATISLAVA, 27 september 2024 — ESET Research onderzocht de activiteiten van Gamaredon, een aan Rusland gelinkte APT-groep die ten minste sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon is door de Oekraïnse Veiligheidsdienst (SSU) toegeschreven aan het Russische 18e Centrum voor Informatiebeveiliging van de FSB, dat opereert vanuit de bezette Krim. ESET Research, die het ontdekte en InvisiMole noemde, gelooft dat deze groep samenwerkt met een andere bedreigingsactor. In april 2022 en februari 2023 zag ESET ook enkele pogingen in verschillende NAVO-landen, o.a. Bulgarije, Letland, Litouwen en Polen, om doelwitten in gevaar te brengen, maar er werden geen succesvolle inbreuken waargenomen.
Gamaredon maakt gebruik van steeds veranderende verduisteringstrucs en talloze technieken om domeingebaseerde blokkering te voorkomen. Deze tactieken vormen een aanzienlijke uitdaging voor het volgen van zijn activiteiten, omdat ze het voor systemen moeilijker maken om de tools van die groep automatisch te detecteren en te blokkeren. ESET-onderzoekers slaagden er toch in om deze tactieken te identificeren en te begrijpen en de activiteiten van Gamaredon in de gaten te houden. De groep heeft zijn kwaadaardige middelen methodisch ingezet tegen zijn doelwitten, reeds lang voor de invasie van 2022 begon. Om nieuwe slachtoffers te maken, voert Gamaredon spearphishing-campagnes uit. Daarvoor gebruikt het zijn aangepaste malware om Word-documenten en USB-drives te bewapenen die toegankelijk zijn voor het eerste slachtoffer, in de hoop dat de malware met andere potentiële slachtoffers gedeeld worden.
In 2023 heeft Gamaredon zijn cyberspionagemogelijkheden aanzienlijk verbeterd en verschillende nieuwe tools in PowerShell ontwikkeld, met het oog op het stelen van waardevolle gegevens, van e-mailklanten, instant messaging-apps zoals Signal en Telegram, en webapps die in internetbrowsers draaien. PteroBleed, een infostealer door ESET in augustus 2023 ontdekt, richt zich eveneens op het stelen van gegevens met betrekking tot een Oekraïens militair systeem en van de webmaildienst die gebruikt wordt door een Oekraïense overheidsinstelling.
“In tegenstelling tot de meeste APT-groepen, probeert Gamaredon niet zo lang mogelijk verborgen te blijven en dit door nieuwe technieken te gebruiken bij het uitvoeren van cyberspionage, maar de operatoren zijn roekeloos en vinden het niet erg om tijdens hun activiteiten ontdekt te worden. Ze vinden het ook niet erg om luidruchtig te zijn maar doen toch veel moeite om niet geblokkeerd te worden door beveiligingsproducten en doen ook hun best om de toegang tot gecompromitteerde systemen te behouden”, zegt Zoltán Rusnák, de ESET-onderzoeker die Gamaredon analyseerde.
“Gamaredon probeert zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors simultaan in te zetten. Het gebrek aan verfijning van de Gamaredon-tools wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende verduistering. Ondanks de relatieve eenvoud van zijn instrumenten, maken de agressieve aanpak en het doorzettingsvermogen van Gamaredon het tot een belangrijke bedreiging. Door de aanhoudende oorlog in de regio verwachten we dat Gamaredon zijn focus op Oekraïne zal behouden”, besluit hij.
Voor een meer gedetailleerde en technische analyse van de tools en activiteiten van Gamaredon, lees het nieuwste witboek van ESET Research “Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023” op www.WeLiveSecurity.com . Volg ook ESET Research on Twitter (today known as X) voor de nieuwste informatie over ESET Research.
Meer lezen