Cyberspionagegroep CopyKittens boekt ondanks beperkte kennis succes

spionage

De Iraanse cyberspionagegroep CopyKittens heeft sinds 2013 een grote hoeveelheid data weten buit te maken bij buitenlandse partijen. Dit terwijl de kennis en vaardigheden van de cybercrimegroepering beperkt is.

Dit melden Trend Micro en ClearSky in een nieuw rapport. CopyKittens is een cyberspionagegroep die sinds 2013 actief is. In november 2015 publiceerde ClearSky al in samenwerking met Minerva Labs een rapport waarin de activiteiten van de groep worden beschreven. In maart 2017 publiceerde het bedrijf opnieuw een rapport waarin meerdere incidenten worden toegeschreven aan de groepering. Het gaat hierbij onder andere om een cyberaanval op de Duitse Bundestag. Trend Micro en ClearSky stellen dat CopyKittens relatief weinig resources tot zijn beschikking heeft. De cyberaanvallen die de groep opzet zouden daarnaast een stuk minder geavanceerd zijn dan aanvallen van veel andere 'staatshackers'.

Overheden, defensiesector en academische instellingen

Het bedrijf meldt dat CopyKittens zich voornamelijk richt op doelen in landen als Israël, Saudi-Arabië, Turkije, Jordanië, de Verenigde Staten en Duitsland. Daarnaast zijn ook andere landen af en toe doelwit van de groep, evenals medewerkers van de Verenigde Naties. De groep richt zich ondermeer op overheidsorganisaties, academische instellingen, defensiebedrijven, lokale overheden, onderaannemers van het ministerie van Defensie en grote IT-bedrijven.

Ook online nieuwswebsites en andere populaire websites worden aangevallen door de groep. Deze sites worden vaak ingezet om cyberaanvallen op te zetten tegen doelen van de groep via ondermeer watering hole aanvallen. Hierbij wordt een website die populair is onder een bepaalde doelgroep geprepareerd door cybercriminelen en ingezet om bezoekers aan te vallen.

Malware en hacktools

De groep gebruikt verschillende zelfontwikkelde malware varianten en hacktools die niet openbaar beschikbaar zijn. Het gaat hierbij om de TDTESS backdoor; de lateral movement tool Vminst; de Cobalt Strike loader NetSrv en het filecompressieprogramma ZPP. Daarnaast heeft de groep de Remote Access Tool Matryoshka v1 en diens opvolger Matryoshka v2 ontwikkeld. Veel zelfontwikkelde tools zijn echter wat betreft kwaliteit inferieur aan tools die andere cybercrimegroeperingen gebruiken, meldt Eyal Sela, hoofd threat intelligence bij ClearSky tegenover DarkReading. Ook zou de groep geen 0-day kwetsbaarheden inzetten.

Daarnaast worden publiek beschikbare tools ingezet, waaronder Cobalt Strike. Die is commerciële software voor ‘Adversary Simulations and Red Team Operations’. Daarnaast gebruikt de tool ook Metasploit, een bekend en gratis open source raamwerk voor het uitvoeren van penetratietesten. Andere tools zijn:

  • Mimikats - een tool voor het kopiëren van inloggegevens
  • Empire - een PowerShell en Python post-exploitation agent
  • Havij, Acunetix en sqlmap - tools voor het detecteren en uitbuiten van met internet verbonden webservers.

C&C-verkeer

Kenmerkend voor de groep is volgens ClearSky en Trend Micro het gebruik van DNS voor command and control (C&C)-verkeer. Daarnaast wordt DNS ook gebruikt om data van slachtoffers te versturen naar externe servers. Deze feature is beschikbaar in zowel Cobalt Strike als Matryoshka.

Meer informatie over CopyKittens is te vinden in het rapport van Trend Micro en ClearSky (pdf).

Lees ook
Iraanse cybercriminele groep TA456 richt zich met social media-persona “Marcella Flores” op militaire doelwitten

Iraanse cybercriminele groep TA456 richt zich met social media-persona “Marcella Flores” op militaire doelwitten

Onderzoekers van Proofpoint hebben een social engineering- en malware-campagne geïdentificeerd die jaren heeft geduurd en is opgezet door TA456, een cybercriminele groep die banden heeft met de Iraanse staat.

LANCOM breidt firewall-portfolio voor mkb-bedrijven uit met nieuw rackmount-model UF-360

LANCOM breidt firewall-portfolio voor mkb-bedrijven uit met nieuw rackmount-model UF-360

LANCOM Systems, de Duitse netwerkleverancier, breidt zijn aanbod van rackmount-firewalls voor het midden- en kleinbedrijf uit. De nieuwe LANCOM R&S Unified Firewall UF-360 is een krachtige alles-in-één-oplossing voor effectieve cybersecurity. De firewall combineert geavanceerde cybersecurity-technologieën, zoals Unified Threat Management (UTM), met...

Cybersecurity Knowledge Summit markeert vijf jaar samenwerking Nederland en Japan bescherming vitale infrastructuur

Cybersecurity Knowledge Summit markeert vijf jaar samenwerking Nederland en Japan bescherming vitale infrastructuur

Op 23 juli 2021 gaat de 32ste editie van de Olympische Spelen van start in Tokyo (Japan). De Olympische Spelen 2021 beloven de meest innovatieve ooit te worden. Dit uit zich niet alleen in de introductie van nieuwe takken van sport, maar ook in de voorbereidingen die vooraf zijn gegaan in aanloop naar de Olympische en Paralympische Spelen