MontysThree: industriële cyberspion

Cybercriminelen gebruiken steganografie om hun code te verbergen en industriële data te zoeken.

Onze experts hebben sporen van activiteiten van een nieuwe groep cybercriminelen gevonden die industriële ondernemingen bespioneert. Deze criminelen voeren gerichte aanvallen uit met gebruik van een tool die onze onderzoekers MontysThree noemen, en zijn hierbij op zoek naar documenten op de computers van slachtoffers. De groep lijkt al sinds minimaal 2018 actief te zijn.

Hoe MontysThree computers infecteert

De cybercriminelen gebruiken klassieke spear-phishing-technieken om de computers van slachtoffers binnen te komen, en sturen e-mails die uitvoerbare bestanden bevatten maar eruit zien als documenten in .pdf- of .doc-formaat naar werknemers van industriële ondernemingen. Dit soort bestanden heeft vaak namen zoals “Update bedrijfsgegevens,” “Technische specificaties,” “Lijst met telefoonnummers werknemers 2019,” enzovoorts. In sommige gevallen pobreren te aanvallers de bestanden op medische documenten te laten lijken, met namen zoals “Resultaten medisch onderzoek” of “Invitro-106650152-1.pdf” (Invitro is een van de grootste Russische medische laboratoria).

Wat de aanvallers willen

MontysThree aast op specifieke documenten in Microsoft Office- en Adobe Acrobat-formaten die zich in verschillende mappen en op de verbonden media bevinden. Na de infectie profileert de malware de computer en verstuurt het de systeemversie, een lijst met processen en snapshots van de desktop naar zijn C&C-server, evenals een lijst met onlangs geopende doucmenten met hun extensies .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw, en .pwd in de mappen GEBRRUIKERSPROFIEL en APPGEGEVENS.

Wat MontysThree nog meer kan doen

De auteurs implementeerden verschillende vrij ongebruikelijke mechanismes in hun malware. Na de infectie pakt de downloader-module bijvoorbeeld de hoofdmodule uit en decodeert het deze, wat een met gebruik van  steganografie versleutelde afbeelding is. Onze experts geloven dat de aanvallers het steganografie-algoritme vanaf nul hebben geschreven. Oftewel, ze hebben het niet zomaar van open-source voorbeelden gekopieerd, zoals vaak het geval is.

De malware communiceert met de C&C-server met gebruik van openbare clouddiensten zoals Google, Microsoft en Dropbox, evenals WebDAV. Daarnaast kan de communicatiemodule verzoeken doen via RDP en Citrix. Bovendien integreerden de makers van de malware geen communicatieprotocollen in hun code; in plaats daarvan maakt MontyThree gebruik van legitieme programma’s (RDP, Citrix clients, Internet Explorer).

Om de malware zo lang mogelijk in het systeem van het slachtoffer te houden, modificeert een hulpmodule de snelkoppelingen op het Windows SnelStart-paneel, dus als de gebruiker een snelkoppeling opstart (naar bijvoorbeeld een browser), wordt de MontyThree-laadmodule tegelijkertijd ook uitgevoerd.

Wie zijn de aanvallers?

Onze experts zien geen links tussen de makers van MontyThree en eerdere aanvallen. Het lijkt dus om een volledig nieuwe groep cybercriminelen te gaan, en op basis van de stukjes tekst in de code, is de moedertaal van de auteurs Russisch. Ook hun belangrijkste doelwitten zijn waarschijnlijk Russischtalige bedrijven; een aantal van de mappen waar de malware in snuffelt bestaat alleen in de Cyrillische versie van het systeem. Experts vonden echter ook accountgegevens voor communicatiediensten die op een Chinese oorsprong wijzen, maar ze denken dat dit valse tekenen zijn om de sporen van de aanvallers te verdoezelen.

Een gedetailleerde technische beschrijving van MontysThree plus de indicators of compromise is beschikbaar in onze post op de Securelist-website.

Wat te doen

Om te beginnen is het belangrijk om alle werknemers nog eens te wijzen op het feit dat gerichte aanvallen vaak met een e-mail beginnen, en dat ze dus extreem voorzichtig moeten zijn met het openen van bestanden, zeker als die onverwachts zijn. Om er echt zeker van te zijn dat ze begrijpen waarom ze waakzaam moeten zijn, raden we aan om niet alleen de gevaren van zulk gedrag uit te leggen, maar ook om ze in de vaardigheden in het counteren van moderne cyberdreigingen te onderwijzen, wat kan met gebruik van het Kaspersky Automated Security Awareness Platform.

Gebruik daarnaast voor bescherming tegen geavanceerde gerichte aanvallen geïntegreerde beveiligingsoplossingen die werkstationbescherming, EDR-capaciteiten en aanvullende tools voor het analyseren en stoppen van aanvallen combineren.

Tips