Sliedrecht, 23 juli 2019 – ESET-onderzoekers hebben nieuwe versies van malwarefamilies ontdekt die gelinkt zijn aan de ongrijpbare Ke3chang-groep. Ook ontdekten ze een tot noch toe niet gerapporteerde backdoor. ESET volgt de APT-groep, waarvan gedacht wordt dat ze vanuit China handelen, al jaren.
De nieuw ontdekte backdoor, door ESET Okrum benoemd, werd voor het eerst gedetecteerd tegen eind 2016 en gedurende 2017. Het werd gebruikt om diplomatische missies en regeringsinstituties in België, Slowakije, Brazilië, Chili en Guatemala aan te vallen.
In onderzoek dat teruggaat naar 2015 heeft ESET nieuwe verdachte activiteiten gedetecteerd in Europese landen. De groep achter de aanvallen lijkt een sterke interesse te hebben in Slowakije, maar andere landen, waaronder Kroatië en Tsjechië, zijn ook slachtoffer geworden. Tijdens het analyseren van de malware gebruikt in deze aanvallen hebben ESET-onderzoekers dit gelinkt aan bekende malwarefamilies die toegekend worden aan de Ke3chang-groep. Deze nieuwe versies worden Ketrican genoemd.
In de tweede helft van 2016 hebben onderzoekers een nieuwe, voorheen onbekende backdoor, ontdekt die gericht is op dezelfde doelwitten in Slowakije die ook werden aangevallen middels de Ketrican-backdoors in 2015. De backdoor, welke ze Okrum noemen, bleef gedurende 2017 actief.
“We begonnen verbanden te zien toen we ontdekten dat de Okrum-backdoor werd gebruikt om een Ketrican-backdoor achter te laten die in 2017 was samengesteld. Daarbij bleek dat sommige diplomatieke entiteiten die geraakt werden door de Okrum-malware en de 2015 Ketrican backdoors ook slachtoffer werden van de 2017 Ketrican backdoors,” zegt Zuzana Hromcova, de ESET-onderzoeker die deze ontdekkingen heeft gedaan. “De groep is in 2019 nog steeds actief – zo ontdekten we in maart een nieuw Ketrican-sample.”
Het onderzoek van ESET levert bewijs dat de nieuw ontdekte backdoor tot de Ke3chang-groep behoort. Naast gedeelde doelwitten heeft Okrum ook een soortgelijke modus operandi als eerder vastgelegde Ke3chang-malware. Zo is Okrum alleen in staat eenvoudige backdoor-commands uit te voeren en is het afhankelijk van typing shell commands en uitvoerende externe tools voor de meerderheid van de kwaadaardige activiteiten. Dit was ook de standaard manier van werken van de Ke3chang-groep in hun eerdere campagnes die we onderzochten.
Ondanks dat de malware niet technisch complex is, kunnen we duidelijk zien dat de kwaadaardige actoren achter Okrum probeerden het ongedetecteerd te houden. We hebben meerdere technieken voor detectie-ontwijking geregistreerd in de Okrum-malware.
De payload zelf is verstopt in een PNG-bestand. Wanneer het bestand wordt geopend met afbeeldingsweergave wordt een onschuldig-uitziende PNG-afbeelding getoond, maar de Okrum-loaders zijn in staat een extra, versleuteld bestaand te plaatsen die de gebruiker niet kan zien.
De malware-operators hebben ook gepoogd om kwaadaardige verkeer binnen het reguliere netwerkverkeer te verstoppen met hun Command and Control-server door ogenschijnlijk legitieme domeinnamen te registreren. “Bijvoorbeeld: de samples gebruikt voor Slowaakse doelwitten communiceerden met een domeinnaam die een Slowaaks navigatieportaal nabootste,” zegt Hromcova.
Daarbij hebben de auteurs elke paar maanden de implementatie van de Okrum-loader en installatiecomponenten gewijzigd om detectie te vermijden. Op het moment van schrijven hebben ESET-systemen zeven verschillende versies van het loader-component en twee versies van de installateur ontdekt.
Lees voor een technische analyse en meer informatie over de verbanden de whitepaper Okrum en Ketrican: An overview of recent Ke3chang group activity en het blog Okrum: Ke3chang group targets diplomatic missions op WeLiveSecurity.com.
Over ons
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.