Ke3chang-groep richt zich op diplomaten in Europa en Latijns-Amerika
BRATISLAVA, 18 juli 2019 - ESET-onderzoekers hebben nieuwe versies van de malware-familie ontdekt die gekoppeld zijn aan de ongrijpbare Ke3chang APT-groep, evenals een ongemelde "Backdoor". ESET heeft de APT-groep gevolgd, die naar men aanneemt al enkele jaren actief is vanuit China.De achterdeur, onlangs ontdekt en door ESET Okrum genoemd, werd voor het eerst ontdekt eind 2016 en vervolgens in 2017. Het werd gebruikt voor diplomatieke missies en overheidsinstellingen in België, Slowakije, Brazilië, Chili en Guatemala. Bovendien heeft ESET sinds 2015 voortdurend nieuwe versies van deze familie van malware ontdekt die al bekend zijn en worden toegeschreven aan de Ke3chang groep.In onderzoek dat teruggaat tot 2015 heeft ESET nieuwe verdachte activiteiten in verschillende Europese landen geïdentificeerd. De groep achter de aanslagen leek een bijzonder belang te hebben voor Slowakije, maar Kroatië, Tsjechië en andere landen werden ook getroffen. Door de bij deze aanvallen gebruikte malware te analyseren, ontdekten ESET-onderzoekers dat deze gerelateerd was aan de malwarefamilie die aan de Ke3changgroep was toegewezen. Deze nieuwe versies hebben de bijnaam Ketrican gekregen. Eind 2016 ontdekten de onderzoekers een nieuwe en nog onbekende achterdeur, die in Slowakije dezelfde doelstellingen had als de achterdeuren van Ketrican in 2015. De achterdeur met de bijnaam Okrum was gedurende 2017 actief."Toen we alle gegevens verzamelden, ontdekten we dat de Okrum achterdeur werd gebruikt om een Ketrican achterdeur, samengesteld in 2017, te deponeren. Daarnaast ontdekten we dat sommige diplomatieke entiteiten die in 2015 getroffen werden door Okrum malware en Ketrican backdoors in 2017 ook getroffen werden door Ketrican backdoors", legt Zuzana Hromcova, de ESET-onderzoeker die de bevindingen deed, uit. "De groep bleef actief in 2019. In maart ontdekten we een nieuwe steekproef van Ketrican," voegt ze eraan toe over de meest recente activiteiten van deze bijzonder ongrijpbare groep.ESET's onderzoek levert het bewijs dat de nieuw ontdekte achterdeur aan de Ke3chang groep wordt toegeschreven. Naast de gedeelde doelstellingen heeft Okrum een soortgelijke werkwijze als Ke3chang malware. Okrum heeft alleen de basisbesturingselementen van een achterdeur en vertrouwt op handmatige commando-invoer en externe tools voor de meeste van haar kwaadaardige activiteiten. Dit was een standaard werkwijze van de Ke3chang groep tijdens de hierboven bestudeerde campagnes.Hoewel malware technisch niet complex is, kunnen we gerust zeggen dat de kwaadwillende auteurs achter Okrum onopgemerkt probeerden te blijven. Bij Okrum-malware hebben we verschillende technieken geregistreerd om detectie te voorkomen. De lading is verborgen in een PNG-bestand. Wanneer dit bestand wordt afgespeeld in een viewer, wordt een onschadelijk PNG-beeld weergegeven, maar Okrum loaders kunnen een extra gecodeerd bestand vinden dat de gebruiker niet kan zien.Malware-exploitanten probeerden ook kwaadaardig verkeer met de commando- en controleserver in normaal netwerkverkeer te verbergen door schijnbaar legitieme domeinnamen te registreren: "De monsters die tegen Slowaakse doelwitten werden gebruikt, waren in communicatie met een domeinnaam die een Slowaaks kaartportaal imiteerde," legt Suzana Hromcova uit.Bovendien hebben de auteurs vaak de implementatie van de Okrum lader en de componenten van de installateur aangepast om detectie te voorkomen. Op het moment van publicatie had ESET-systemen zeven verschillende versies van ladercomponenten en twee versies van de installateur ontdekt, terwijl de functionaliteit ongewijzigd was gebleven.De technische analyse en meer details over de verbindingen zijn te vinden in het Okrum en Ketrican whitepaper: Een overzicht van de recente Ke3chang groepsactiviteit en de blogpost Okrum: Ke3chang groep richt zich op diplomatieke missies op WeLiveSecurity.com.
Over ESET
Al 30 jaar ontwikkelt ESET®wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie.
ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.
Bezoek voor meer info www.eset.com of volg ons op LinkedIn, Facebook en Twitter.
Persinformatie
Voor meer informatie of voor het testen met ESET kan u contact opnemen met:
MGK Technologies
+352 26 18 51
Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
+32 (0)2 230 40 72
catherine@keycommunications.be
louise@keycommunications.be
www.keycommunications.be
Wil je geen berichten van ESET ontvangen, laat het dan weten aan louise@keycommunications.be