Advanced Persistent Threat (APT)-actoren hebben een druk kwartaal achter de rug blijkt uit Kaspersky's nieuwste APT-trendsrapport voor Q1 2022. Zowel recentelijk ontdekte als lopende campagnes van nieuwe en bekende operators zorgden voor aanzienlijke veranderingen in het APT-dreigingslandschap. APT-actoren, die zich voornamelijk richten op bedrijven en overheidsinstanties, hebben reeds bestaande schadelijke toolsets bijgewerkt en hun technieken gediversifieerd om hun aanvallen te verbeteren. Deze en andere trends komen aan bod in Kaspersky's nieuwste APT-trendsrapport.
In de eerste drie maanden van 2022 ontdekten Kaspersky-onderzoekers doorlopend nieuwe tools, technieken en campagnes die door APT-groepen zijn gelanceerd in cyberaanvallen wereldwijd. Het driemaandelijkse APT-trendsrapport is afgeleid van Kaspersky's private threat intelligence-onderzoek en belangrijke ontwikkelingen en cyberincidenten waarvan onderzoekers vinden dat iedereen op de hoogte moet zijn.
Gedurende het eerste kwartaal van 2022 werd de voortdurende APT-activiteit aangedreven door nieuw gelanceerde campagnes en een aantal aanvallen rond gevoelige geopolitieke gebeurtenissen. Dit zijn de belangrijkste bevindingen.
Geopolitieke crises als belangrijke drijfveer voor APT-ontwikkelingen
Het dreigingslandschap zag talrijke aanvallen rond de Oekraïense crisis. HermeticRansom, DoubleZero en vele andere nieuwe aanvallen gericht op Oekraïense entiteiten werden in februari en maart gemeld. Er was een aanzienlijke piek in de hoeveelheid nieuwe infrastructuur die werd ingezet door de APT-groepen Gamaredon en UNC1151 (Ghostwriter). Gedurende het onderzoek identificeerden Kaspersky-onderzoekers twee WhisperGate-prototypesamples die in december 2021 waren ontwikkeld en die teststrings en eerdere revisies van het losgeldbriefje bevatten die zijn waargenomen in de gedeelde samples van Microsoft. Ze concludeerden met grote zekerheid dat deze monsters eerdere iteraties waren van de wiper-malware die naar verluidt in Oekraïne werd gebruikt.
Tegelijkertijd identificeerden Kaspersky-onderzoekers drie campagnes die gekoppeld zijn aan de Konni-dreigingsactor, die sinds medio 2021 actief is en gericht is op Russische diplomatieke entiteiten. Hoewel de aanvallers in de verschillende campagnes gebruikmaakten van hetzelfde Konni-RAT-implantaat, waren de infectievectoren in elke campagne anders: documenten met ingesloten macro's, een installatieprogramma dat zich voordeed als een COVID-19-registratietoepassing en andere.
De terugkeer van aanvallen op laag niveau
Vorig jaar voorspelden onderzoekers van Kaspersky de verdere ontwikkeling van low-level implantaten in 2022. Een treffend voorbeeld van deze trend is de door Kaspersky ontdekte Moonbounce, het derde bekende geval van een firmware bootkit in het wild. Dit kwaadaardige implantaat zat verstopt in Unified Extensible Firmware Interface (UEFI) firmware, een essentieel onderdeel van computers. Het implantaat werd aangetroffen in de SPI-flash, een opslagcomponent buiten de harde schijf. De campagne werd toegeschreven aan de bekende APT-actor APT41.
APT-actoren gaan achter cryptocurrency aan
In dit kwartaal heeft Kaspersky ook gezien dat APT-actoren hun jacht op cryptocurrency voortzetten. In tegenstelling tot de meeste door de staat gesponsorde APT-groepen, hebben Lazarus en andere dreigingsactoren die aan deze APT gelieerd zijn, financieel gewin tot een van hun primaire doelen gemaakt. Deze actor heeft Trojaanse gedecentraliseerde financiële (DeFi) apps verspreid om de winst te verhogen. Lazarus maakt misbruik van legitieme toepassingen die worden gebruikt om cryptocurrency-portemonnees te beheren door malware te verspreiden die controle biedt over de systemen van slachtoffers.
Updates en misbruik van online diensten
APT-actoren zijn voortdurend op zoek naar nieuwe manieren om de efficiëntie van hun aanvallen te vergroten. De cyberhuurlingengroep genaamd DeathStalker blijft zijn ongenuanceerde tools updaten om aanvallen efficiënter te maken. Janicab, zijn oudste malware, voor het eerst geïntroduceerd in 2013, is een uitstekend voorbeeld van deze trend. Over het algemeen vertoont Janicab dezelfde functionaliteiten als zijn tegenhangers in de malwarefamilies, maar in plaats van verschillende tools later in de levenscyclus van de inbraak te downloaden, zoals de groep deed met EVILNUM en Powersing-inbraken, hebben de nieuwe exemplaren de meeste tools ingebed en versluierd in de afzender. Bovendien maakt DeathStalker gebruik van 's werelds grootste online diensten, zoals YouTube, Google+ en WordPress, als dead-drop resolvers (DDR's) om effectieve onopvallende commando’s en controle uit te voeren.
David Emm, principal security researcher bij Kaspersky’s GReAT: “Geopolitiek is altijd de belangrijkste drijfveer geweest voor APT-aanvallen, en nog nooit was dat zo duidelijk als nu. We leven in turbulente tijden en dat is ook duidelijk te zien binnen de cybersecurity. Tegelijkertijd zien we dat het eerste kwartaal voor veel dreigingsactoren business as usual is geweest, met voortdurende updates van tools en nieuwe campagnes die niet alleen uit zijn op informatie, maar ook op geld. Dit betekent dat organisaties even alert moeten zijn als altijd en ervoor moeten zorgen dat ze gewapend zijn met dreigingsinformatie en de juiste tools om zich te beschermen tegen bestaande en opkomende dreigingen."
Het Q1 APT Trends rapport vat de bevindingen samen van Kaspersky's abonnee-only threat intelligence rapporten, die ook Indicators of Compromise (IoC) data en YARA regels bevatten om te helpen bij forensisch onderzoek en malware-hunting. Voor meer informatie kunt u contact opnemen met: intelreports@kaspersky.com
Eerder dit kwartaal heeft Kaspersky's GReAT een presentatie gegeven over cyberaanvallen in Oekraïne, waaronder de nieuwste APT-activiteiten. Bekijk de opname van de webinar hier en lees hier de samenvatting.
Om het volledige APT Q1 2022 trendrapport te lezen, kunt u terecht op Securelist.