Anticiperend op al die kostbare gegevens en toegangsrechten zijn cybercriminelen en door de staat gesponsorde APT's (advanced persistent threat groups) bereid om veel tijd en geld te investeren in het uitvoeren van aanvallen die de apparaten en accounts van dit soort vips in gevaar kunnen brengen. Backdoors kunnen in dit soort situaties bijzonder gevaarlijk zijn, omdat ze meestal de mogelijkheid hebben om bestanden naar de hostcomputer te sturen, daar bestanden en opdrachten uit te voeren en bestanden en documenten te terug te sturen naar de aanvaller.
Eén van de meest recente voorbeelden van zo'n aanval bestaat uit een aantal geavanceerde en tot nu toe onbekende backdoors genaamd LunarWeb en LunarMail. Deze werden onlangs beschreven door onderzoekers van ESET en gepresenteerd op de ESET World 2024 conferentie. Met behulp van geavanceerde technieken voor verduistering werden ze ingezet om een niet nader genoemd Europees ministerie van Buitenlandse Zaken te bespioneren. De aanval wordt met redelijke betrouwbaarheid toegeschreven aan de aan Rusland gelieerde APT-groep Turla.
Om hun vips en hun organisatie tegen dergelijke aanvallen te beschermen, moeten organisaties proactief zijn. Dit betekent niet alleen dat ze hun personeel moeten trainen en een betrouwbare cyberbeveiligingsoplossing moeten inzetten, maar ook dat ze moeten beschikken over uitgebreide informatie over cyberdreigingen om tegenstanders voor te blijven.
Vips worden ook thuis bedreigd
Volgens een onderzoek uit 2023, uitgevoerd door BlackCloak en het Ponemon Institute, zijn hogere bedrijfsleiders steeds vaker het doelwit van geavanceerde cyberaanvallen. Deze omvatten e-mailcompromittering, ransomware, malware-infectie, doxing, afpersing, online imitatie en zelfs fysieke aanvallen, zoals swatting.
Ongeveer 42% van de ondervraagde organisaties verklaarde dat hun senior executive of een familielid van een executive de afgelopen twee jaar was aangevallen. Aanvallers gingen vaak voor gevoelige bedrijfsgegevens, waaronder financiële informatie en intellectueel eigendom.
Cybercriminelen aarzelden niet om toe te slaan wanneer hun doelwit het meest kwetsbaar was - thuis bij hun dierbaren. In één derde van de gerapporteerde gevallen bereikten hackers leidinggevenden via onveilige netwerken van thuiskantoren die werden gebruikt tijdens werken-op- afstand.
Business email compromise (BEC) is een van de meest gebruikte tactieken tegen vips. Het is meestal een verfijnde oplichterij gericht op personen die geld doorsluizen en probeert legitieme zakelijke e-mailaccounts door middel van social engineering en/of computerdiefstaltechnieken te compromitteren.
Volgens de jaarverslagen van het Internet Crime Complaint Center (IC3) van de FBI is BEC één van de duurste vormen van criminaliteit. In 2023 ontving IC3 21.489 BEC-klachten met gecorrigeerde verliezen van meer dan $ 2,9 miljard. Alleen investeringsmisdrijven (zoals piramidespelen, oplichting met vastgoedinvesteringen of oplichting met cryptocurrency-investeringen) liepen in dat jaar meer verlies op dan BEC, met 4,7 miljard dollar aan gemelde gestolen bedragen.
De Lunar toolset
ESET's onderzoek naar de Lunar toolset laat zien hoe dergelijke zorgvuldig opgezette spionageactiviteiten eruit kunnen zien.
De aanvalsvector is niet bekend, maar teruggevonden installatie-gerelateerde onderdelen en activiteit van de aanvaller suggereren mogelijke spearphishing met een kwaadaardig Word-document en misbruik van zowel een verkeerd geconfigureerd netwerk als de applicatie-monitoring software Zabbix.
Zodra toegang is verkregen, volgt het installatieproces van de backdoor. Het bestaat uit het droppen van zowel een loader als een blob met LunarWeb of LunarMail en het instellen van persistentie.
Vanaf dat moment kan de exfiltratie van gegevens beginnen. De LunarWeb backdoor verzamelt bijvoorbeeld gegevens zoals de serienaam van het besturingssysteem, omgevingsvariabelen, netwerkadapters, een lijst met actieve processen, een lijst met services of een lijst met geïnstalleerde beveiligingsproducten en stuurt deze naar een C&C server.
LunarWeb communiceert met een C&C-server via HTTP(S), wat een aangepast binair protocol is met versleutelde inhoud. ESET-onderzoekers vonden LunarWeb alleen op servers, niet op werkstations van gebruikers.
LunarMail is vergelijkbaar, maar in plaats van HTTP(S) gebruikt het e-mailberichten voor communicatie met de C&C-server. Deze backdoor is ontworpen om te worden geïnstalleerd op werkstations van gebruikers, niet op servers, omdat hij persistent is en bedoeld om te worden uitgevoerd als een Outlook-add-in.
Onder de radar blijven
De APT-groep heeft ook een aantal trucs ips om de kwaadaardige activiteiten van ingezette backdoors te verbergen.
- De loader gebruikt RC4, een symmetrische sleutel, om het pad naar de blob te ontsleutelen en leest er versleutelde payloads uit.
- Het creëert ook een ontcijferingssleutel die is afgeleid van de DNS-domeinnaam, die het verifieert. Het gebruik van DNS domeinnaamdecodering betekent dat de loader alleen correct wordt uitgevoerd in de doelorganisatie, wat de analyse kan belemmeren als de domeinnaam niet bekend is.
- LunarWeb beperkt de eerste contactpogingen met de C&C-server, beoordeelt de levensduur van de backdoor en controleert de toegankelijkheid van de C&C-server. Als een van de veiligheidsvoorwaarden faalt, verwijdert LunarWeb zichzelf en worden de bestanden, inclusief de loader en de blob, verwijderd.
- Om zijn C&C-communicatie te verbergen, doet LunarWeb zich voor als legitiem uitziend verkeer door HTTP-headers te vervalsen met echte domeinen en veelgebruikte attributen. Opmerkelijke voorbeelden van imitatie zijn Windows services (Teredo, Windows Update) en updates van ESET producten.
- Zowel LunarWeb als LunarMail kunnen opdrachten ontvangen die verborgen zijn in afbeeldingen.
- Om gestolen gegevens te ex
filtreren, voegt LunarMail ze in in een PNG-afbeelding of PDF-document. Voor PNG-bestanden wordt een sjabloon gebruikt dat overeenkomt met het logo van de gecompromitteerde instelling. - LunarMail verwijdert e-mailberichten die worden gebruikt voor C&C-communicatie.
- Zowel LunarWeb als LunarMail kunnen zichzelf verwijderen.
Illustratie van een exfiltratie-e-mail met gegevens verborgen in de afbeelding.
Hoe kunnen vips beschermt worden?
Omdat vips doelwitten met een hoge prioriteit zijn, moeten ze zowel op kantoor als thuis voldoende worden beschermd.
- De werknemers trainen - Technologie alleen kan een organisatie niet volledig beschermen en het menselijke element zal altijd een rol spelen. Slechts 9% van de cyberbeveiligingsprofessionals die aan de Ponemon-enquête deelnamen, had er alle vertrouwen in dat hun CEO of leidinggevenden zouden weten hoe ze hun persoonlijke computer tegen virussen kunnen beschermen, en slechts 22% vertrouwde hen als het op de beveiliging van persoonlijke e-mails aankomt.
- Beveilig hun werk op afstand - Omdat veel vips een doelwit zijn in hun thuisomgeving, is het noodzakelijk om hun bedrijfsapparaten, persoonlijke apparaten die voor het werk worden gebruikt en thuisnetwerken te beveiligen. Dit omvat het gebruik van sterke wachtwoorden of wachtzinnen, 2FA, regelmatig updaten, patchen en back-ups maken van gegevens.
- Neem een zero-trust benadering - Neem maatregelen om elk toegangspunt efficiënt te screenen, zowel van medewerkers als van apparaten - intern en extern. Natuurlijk hebben CEO's en hoge managers veel toegang nodig om hun taken uit te voeren, maar die toegang hoeft niet onbeperkt te zijn. Evalueer hoeveel privileges ze echt nodig hebben om de gegevens van je instelling te beschermen in gevallen waarin de accounts van vips gecompromitteerd zijn.
- Implementeer betrouwbare cybersecurity - Zoals de Lunar toolset laat zien, werken de huidige cyberdreigingen boven de beveiligingsdrempel van traditionele firewalls en moeten er meer geavanceerde beveiligingsmaatregelen worden genomen. De bescherming van functionarissen op C-niveau moet bestaan uit meerlaagse beveiliging en proactieve verdediging op basis van informatie over cyberdreigingen.
ESET Threat Intelligence houdt APT-groepen zoals Turla in de gaten en observeert hun tactieken, technieken en procedures (TTP's) om organisaties te helpen zich voor te bereiden op de nieuwe trucs van APT's en ook hun motieven te begrijpen. Dankzij uitgebreide ESET-rapporten en verzamelde feeds kunnen organisaties anticiperen op dreigingen en snellere, betere beslissingen nemen.
Vips zijn gewaardeerde trofeeën voor cybercriminelen en APT's, of het nu om financieel gewin of politieke redenen is. Daarom brengen ze vaak hun grootste wapens mee om accounts en apparaten van doelwitten te misbruiken.
Dit betekent dat organisaties een bewustzijnscultuur moeten opbouwen onder hun werknemers en hun apparaten moeten beschermen met de nieuwste technologie. De oplossingen en diensten van ESET kunnen daarbij helpen.