Nieuwe geavanceerde spionagesoftware is al zeker 6 jaar actief
Een nieuwe zeer geavanceerde vorm van spionagemalware is opgedoken. De malware kan worden uitgerust met allerlei extensies, waardoor aanvallers cyberaanvallen volledig kunnen aanpassen op hun doelwit. De malware is al zeker 6 jaar actief.
Onderzoekers van Symantec stellen dat de ‘Regin’-malware een ‘krachtig raamwerk biedt voor massasurveillance en gebruikt is tijdens spionagecampagnes tegen overheidsorganisaties, beheerders van infrastructuur, het bedrijfsleven, onderzoekers en private individuen’. Regin is een spionagetool die een ‘technische competentie vertoont die zelden te zien is’. De ontwikkeling zou maanden, wellicht zelfs jaren, in beslag hebben genomen. De makers van de malware hebben veel moeite genomen hun identiteit af te schermen. Symantec vermoedt dat een overheid achter de spionagetool zit.
Moeilijk te analyseren
De tool werkt met verschillende fases, die ieder individueel worden verborgen en versleuteld. Iedere laag bevat slechts een klein gedeelte van de informatie over de gehele malware. Alleen door alle vijf de lagen te ontsleutelen en analyseren wordt duidelijk hoe de malware te werk gaat.
De eerste besmettingen met Regin die zijn gesignaleerd vonden tussen 2008 en 2011 plaats. In 2011 werd het plotseling stil rond de malware, waarna vanaf 2013 een vernieuwde versie van Regin opdook. De malware heeft zich onder andere gericht op private ondernemingen, overheidsdiensten en onderzoeksinstellingen. De helft van alle besmettingen vond plaats bij private individuen en kleine bedrijven. De malware wordt ook gebruikt om telecombedrijven aan te vallen. Deze aanvallen lijken voornamelijk als doel te hebben toegang te krijgen tot telefoongesprekken die via de infrastructuur van de bedrijven wordt geleid.
Doelwitten
De malware is in allerlei landen opgedoken. 28% van de malware is aangetroffen in Rusland, waarmee dit land het grootste doelwit is. Saoedi-Arabië staat met 24% op de tweede plaats, gevolgd door Ierland en Mexico (beide 9%). Andere landen waar de malware heeft toegeslagen zijn België, Oostenrijk, India, Pakistan, Afghanistan en Iran.
Meer over
Lees ook
Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan
Securitybedrijf Lookout heeft ontdekt dat Android-surveillanceware van enterprise niveau, momenteel door de regering van Kazachstan wordt gebruikt binnen de grenzen van het land. Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.
Nerbian RAT gebruikt COVID-19 als dekmantel
Sinds eind april 2022 hebben onderzoekers van Proofpoint een malwarecampagne waargenomen via e-mail, genaamd Nerbian RAT. Een klein aantal e-mails (minder dan 100 berichten) werden naar meerdere sectoren gestuurd, waarbij vooral organisaties in Italië, Spanje en het VK werden getroffen.
Proofpoint identificeert nieuwe malware loader Bumblebee
Sinds maart 2022 heeft Proofpoint campagnes waargenomen waarbij een nieuwe downloader, genaamd Bumblebee, werd verspreid. Ten minste drie clusters van activiteit, waaronder van bekende cybercriminele groepen, verspreiden momenteel Bumblebee.