Backdoor ontdekt in Oekraïense boekhoudsoftware M.E.Doc

pixabay-hacker-1944688_960_720

In de Oekraïense boekhoudsoftware M.E.Doc is een backdoor aangetroffen die de aanvallers hebben misbruikt om de ransomware NotPetya (ook bekend als ExPetr, PetrWrap en Petya) te verspreiden. Deze backdoor is geïnjecteerd in legitieme modules van de boekhoudsoftware.

Dit meldt ESET. Het beveiligingsbedrijf noemt het ‘zeer onwaarschijnlijk’ dat de aanvallers in staat zijn geweest de backdoor te injecteren in legitieme modules zonder dat zij toegang hadden tot de broncode van M.E.Doc. De backdoor blijkt sinds april 2017 te worden meegestuurd met updates die zijn verspreid door het Oekraïense bedrijf. Het gaat om de volgende updates:

  • 01.175-10.01.176, vrijgegeven op 14 april 2017
  • 01.180-10.01.181, vrijgegeven op 15 mei 2017
  • 01.188-10.01.189, vrijgegeven op 22 juni 2017

Xdata ransomware

ESET wijst erop dat een eerdere uitbraak van de ransomware Xdata slechts drie dagen na het vrijgeven van update 01.180-10.01.181 plaatsvond. Dit terwijl de ransomware Petya vijf dagen na het vrijgeven van 01.188-10.01.189 werd verspreid. Opvallend is dat de backdoor in vier updates die tussen 24 april 2017 en 10 mei 2017 zijn vrijgegeven niet aanwezig is. Ook in zeven updates die tussen 17 mei 2017 en 21 juni 2017 zijn vrijgegeven is de backdoor niet aangetroffen.

Het beveiligingsbedrijf wijst erop dat de update van 15 mei de backdoor module bevat, terwijl deze in de update van 17 mei is verdwenen. ESET vermoedt dat dit zonder medeweten van de cybercriminelen achter Xdata is gebeurd en de plannen van de aanvallers in de war heeft gegooid. Xdata werd namelijk op 18 mei verspreid, terwijl het overgrote deel van de M.E.Doc de update van 17 mei al had geïnstalleerd die de backdoor niet bevat. Dit verklaart volgens het ESET waarschijnlijk de kleine hoeveelheid besmettingen met de ransomware Xdata.

Communicatie via legitieme servers

Ook opvallend is dat de backdoor module niet communiceert met externe servers of Command & Control servers. De module communiceert uitsluitend via reguliere update-controleverzoeken van de M.E.Doc software, die worden verzonden naar de legitieme M.E.Doc server upd.me-doc.com[.]ua. Het enige verschil met een legitiem verzoek is dat de backdoor module de verzamelde informatie meestuurt als cookies.

In een eerdere blogpost meldde ESET al dat er tekenen zijn dat de aanvallers toegang hebben weten te verkrijgen tot de legitieme server van M.E.Doc. De nieuwe bevindingen versterken dit vermoeden. ESET stelt dat de aanvallers waarschijnlijk software op de server hebben geïnstalleerd die onderscheid maakt tussen communicatie van gecompromitteerde klanten van M.E.Doc met de server en communicatie van niet-gecompromitteerde klanten.

Lees ook
Nieuwe versies FinSpy spionagesoftware in omloop

Nieuwe versies FinSpy spionagesoftware in omloop

Kaspersky-experts hebben nieuwe versies ontdekt van de geavanceerde kwaadaardige spionagetool FinSpy. Deze varianten werken op iOS en Android-apparatuur en zijn in staat activiteiten te volgen van zo goed als alle populaire berichtendiensten ondanks versleuteling. De nieuwe FinSpy versies wissen bovendien hun sporen beter uit dan vorige versies. Zo...

Mac-malware en webapplicatie-exploits winnen aan populariteit

Mac-malware en webapplicatie-exploits winnen aan populariteit

De dreiging van malware groeit, zo blijkt uit de nieuwste editie van het Internet Security Report van WatchGuard Technologies. De securityspecialist detecteerde in het eerste kwartaal van 2019 maar liefst 62 procent meer malware dan in het kwartaal daarvoor. Cybercriminelen maken gebruik van een breed scala aan aanvalstechnieken, waaronder schadelijke...

Ransomware beu? Aanvallers worden slimmer

Ransomware beu? Aanvallers worden slimmer

Jeff Costlow, CISO ExtraHop Ransomware is een cyberdreiging waar u al jarenlang over hoort en leest en daarom misschien beu bent. Aanvallers echter nog lang niet, die worden alsmaar slimmer. Zij kunnen er namelijk eenvoudig geld mee verdienen en slagen er steeds vaker in de toegangsbeveiliging van apparatuur en netwerken te omzeilen. Volgens het Verizon...