Backdoor ontdekt in Oekraïense boekhoudsoftware M.E.Doc

In de Oekraïense boekhoudsoftware M.E.Doc is een backdoor aangetroffen die de aanvallers hebben misbruikt om de ransomware NotPetya (ook bekend als ExPetr, PetrWrap en Petya) te verspreiden. Deze backdoor is geïnjecteerd in legitieme modules van de boekhoudsoftware.

Dit meldt ESET. Het beveiligingsbedrijf noemt het ‘zeer onwaarschijnlijk’ dat de aanvallers in staat zijn geweest de backdoor te injecteren in legitieme modules zonder dat zij toegang hadden tot de broncode van M.E.Doc. De backdoor blijkt sinds april 2017 te worden meegestuurd met updates die zijn verspreid door het Oekraïense bedrijf. Het gaat om de volgende updates:

• 01.175-10.01.176, vrijgegeven op 14 april 2017
• 01.180-10.01.181, vrijgegeven op 15 mei 2017
• 01.188-10.01.189, vrijgegeven op 22 juni 2017

Xdata ransomware

ESET wijst erop dat een eerdere uitbraak van de ransomware Xdata slechts drie dagen na het vrijgeven van update 01.180-10.01.181 plaatsvond. Dit terwijl de ransomware Petya vijf dagen na het vrijgeven van 01.188-10.01.189 werd verspreid. Opvallend is dat de backdoor in vier updates die tussen 24 april 2017 en 10 mei 2017 zijn vrijgegeven niet aanwezig is. Ook in zeven updates die tussen 17 mei 2017 en 21 juni 2017 zijn vrijgegeven is de backdoor niet aangetroffen.

Het beveiligingsbedrijf wijst erop dat de update van 15 mei de backdoor module bevat, terwijl deze in de update van 17 mei is verdwenen. ESET vermoedt dat dit zonder medeweten van de cybercriminelen achter Xdata is gebeurd en de plannen van de aanvallers in de war heeft gegooid. Xdata werd namelijk op 18 mei verspreid, terwijl het overgrote deel van de M.E.Doc de update van 17 mei al had geïnstalleerd die de backdoor niet bevat. Dit verklaart volgens het ESET waarschijnlijk de kleine hoeveelheid besmettingen met de ransomware Xdata.

Communicatie via legitieme servers

Ook opvallend is dat de backdoor module niet communiceert met externe servers of Command & Control servers. De module communiceert uitsluitend via reguliere update-controleverzoeken van de M.E.Doc software, die worden verzonden naar de legitieme M.E.Doc server upd.me-doc.com[.]ua. Het enige verschil met een legitiem verzoek is dat de backdoor module de verzamelde informatie meestuurt als cookies.

In een eerdere blogpost meldde ESET al dat er tekenen zijn dat de aanvallers toegang hebben weten te verkrijgen tot de legitieme server van M.E.Doc. De nieuwe bevindingen versterken dit vermoeden. ESET stelt dat de aanvallers waarschijnlijk software op de server hebben geïnstalleerd die onderscheid maakt tussen communicatie van gecompromitteerde klanten van M.E.Doc met de server en communicatie van niet-gecompromitteerde klanten.