Criminelen bespioneren belangrijke overheidsinstellingen en persdienst in de Oekraïne, Rusland en Wit-Rusland

ESET heeft een uitgebreide analyse gemaakt van de wijze waarop de cyberspionagegroep achter de malwarefamilie Win32/Potao te werk is gegaan. De Potao-familie is een typische cyberspionage-trojan, die wachtwoorden en gevoelige informatie steelt om ze vervolgens aan te bieden aan de aanvaller. De cyberspionnen gebruikten de malware met name voor het stelen van data van overheidsinstellingen in Oekraïne, Rusland en Wit-Rusland en een persdienst in Oekraïne.

Social engineering 

Win32/Potao is dan ook een voorbeeld van spionagemalware en actief sinds 2011. De laatste twee jaar werd deze malware steeds vaker gesignaleerd. Opvallend was dat de spionnen geen misbruik hoefden te maken van softwarelekken of gaten in de beveiliging. Ze pasten met name social engineering toe, een methode die uitgaat van het manipuleren van mensen.

Gerichte aanvallen

De aanvallen met de malware waren beslist niet willekeurig. Net als BlackEnergy, is Potao gebruikt om Oekraïense overheidsinstellingen, militaire doelen en een grote persdienst te bespioneren. Ook leden van MMM, een financieel piramidespel, dat populair is in Rusland en de Oekraïne, zijn zo in de gaten gehouden.

Encyrptiesoftware als infectiehaard

Uit de analyse blijkt dat er een relatie is met een Russische versie van TrueCrypt en de truecryptrussia.ru website. Deze website leverde niet alleen geïnfecteerde encryptie software, maar trad in sommige gevallen ook op als een command and control (C&C) server voor de backdoor. Dat is opvallend, wat TrueCrypt is een bekende, veelgebruikte oplossing voor het versleutelen van data.

In het ESET blog en de whitepaper ‘Operation Potao Express’ worden de technische details en verspreidingsmechanismen van deze malware-variant uitgebreid beschreven.

   
Dossiers
Meer over
Lees ook
Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.