Nieuws


Aanvallers misbruiken legitieme software

Kaspersky ziet onzichtbare aanvallen

Deskundigen van Kaspersky Lab waarschuwen voor ‘onzichtbare’, gerichte aanvallen die uitsluitend legitieme software gebruiken. De aanvallers plaatsen de malwarebestanden niet op de harde schijf, maar verbergen deze in het geheugen.

Deze gecombineerde aanpak voorkomt detectie door whitelisting-technologieën en geeft forensische onderzoekers vrijwel geen bewijs om mee te werken. De criminelen blijven net lang genoeg aanwezig om informatie te verzamelen voordat hun sporen bij de eerstvolgende reboot worden gewist uit het systeem.

Banken slachtoffer
Eind 2016 werden experts van Kaspersky Lab gecontacteerd door enkele banken. Deze hadden de penetratietestsoftware Meterpreter, tegenwoordig vaak gebruikt voor kwaadaardige doeleinden, in het geheugen van hun servers aangetroffen terwijl deze daar niet had moeten zijn. Kaspersky Lab ontdekte dat de Meterpreter-code werd gecombineerd met een aantal legitieme PowerShell-scripts en andere hulpprogramma’s.

De gecombineerde tools waren aangepast tot kwaadaardige code die zich kon verbergen in het geheugen. Van hieruit verzamelden ze onopgemerkt de wachtwoorden van systeembeheerders, zodat de aanvallers op afstand controle kregen over de systemen van hun slachtoffers. Het uiteindelijke doel lijkt toegang tot financiële processen te zijn geweest.

Op grote schaal
Kaspersky Lab heeft inmiddels ontdekt dat deze aanvallen op grote schaal hebben plaatsgevonden: meer dan 140 bedrijfsnetwerken in een reeks sectoren werden getroffen, met de meeste slachtoffers in de Verenigde Staten, Frankrijk, Ecuador, Kenia, het Verenigd Koninkrijk en Rusland.

Het is niet bekend wie er achter de aanslagen zitten. Het gebruik van opensource exploitcode, veelvoorkomende Windows-hulpprogramma's en onbekende domeinen maakt het vrijwel onmogelijk om de verantwoordelijke groep te bepalen – of zelfs of het om een enkele groep gaat, of diverse groepen die dezelfde tools delen. Bekende groepen die de meest soortgelijke aanpak hanteren zijn GCMAN en Carbanak.

De aanvallers zijn nog steeds actief, dus het is belangrijk om op te merken dat de detectie van een dergelijke aanval alleen mogelijk is in het RAM, het netwerk en het register.


Lees meer over