Cybersecurity-onderzoekers hebben een verband ontdekt tussen de beruchte DarkGate remote access trojan (RAT) en de in Vietnam gevestigde financiële cybercriminaliteitsoperatie achter de Ducktail-infostealer.
De onderzoekers van WithSecure, die zag de activiteit van Ducktail in 2022, startten hun onderzoek naar DarkGate na het detecteren van meerdere infectiepogingen tegen organisaties in het VK, de VS en India.
“Het werd al snel duidelijk dat de lokdocumenten en de targeting sterk leken op recente Ducktail-infostealer-campagnes, en het was mogelijk om via open source-gegevens van de DarkGate-campagne naar meerdere andere infostealers te gaan die zeer waarschijnlijk door dezelfde actor/groep worden gebruikt. ”, aldus het rapport.
DarkGate's banden met Ducktail
DarkGate is dat wel achterdeur-malware in staat tot een breed scala aan kwaadaardige activiteiten, waaronder het stelen van informatie, cryptojacking en het gebruik van Skype, Teams en Berichten om malware te verspreiden.
De malware kan een verscheidenheid aan gegevens van geïnfecteerde apparaten stelen, waaronder gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie, en worden gebruikt om cryptocurrency te minen op geïnfecteerde apparaten zonder medeweten of toestemming van de gebruiker.
Het kan worden gebruikt om ransomware naar geïnfecteerde apparaten te brengen, waarbij de bestanden van de gebruiker worden gecodeerd en er losgeld wordt gevraagd om ze te decoderen.
WithSecure senior threat intelligence-analist Stephen Robinson legt uit dat de DarkGate-malwarefunctionaliteit op hoog niveau niet is veranderd sinds de eerste rapportage in 2018.
“Het is altijd een Zwitsers zakmes geweest, een multifunctionele malware”, zegt hij. “Dat gezegd hebbende, is het sindsdien herhaaldelijk bijgewerkt en aangepast door de auteur, waarvan we kunnen aannemen dat dit de implementatie van die kwaadaardige functies heeft verbeterd en om gelijke tred te houden met de wapenwedloop op het gebied van AV/Malware-detectie.”
Hij merkt op dat DarkGate-campagnes (en de actoren erachter) kunnen worden onderscheiden door op wie ze zich richten, het kunstaas en de infectievectoren die ze gebruiken, en hun acties op het doelwit.
“Het specifieke Vietnamese cluster waarop het rapport zich richt, gebruikte dezelfde targeting, bestandsnamen en zelfs lokbestanden voor meerdere campagnes waarbij meerdere soorten malware werden gebruikt”, zegt Robinson.
Ze creëerden PDF-lokbestanden met behulp van een online service die zijn eigen metagegevens aan elk gemaakt bestand toevoegt; die metadata zorgden voor verdere sterke verbanden tussen de verschillende campagnes.
Ze creëerden ook meerdere kwaadaardige LNK-bestanden op hetzelfde apparaat en wisten de metagegevens niet, waardoor verdere activiteiten konden worden geclusterd.
De correlatie tussen DarkGate en Ducktail werd bepaald op basis van niet-technische markeringen zoals lokbestanden, targetingpatronen en bezorgmethoden, verzameld in een document van 15 pagina's. verslag.
“Niet-technische indicatoren zoals lokkenbestanden en metadata zijn zeer impactvolle forensische signalen. Lure-bestanden, die fungeren als lokaas om slachtoffers te verleiden de malware uit te voeren, bieden waardevolle inzichten in de modus operandi van een aanvaller, hun potentiële doelwitten en hun evoluerende technieken”, legt Callie Guenther, senior manager cyberdreigingsonderzoek bij Critical Start, uit.
Op dezelfde manier kunnen metadata – informatie zoals ‘LNK Drive ID’ of details van services zoals Canva – waarneembare sporen of patronen achterlaten die bij verschillende aanvallen of specifieke actoren kunnen blijven bestaan.
“Deze consistente patronen kunnen, wanneer ze worden geanalyseerd, de kloof tussen verschillende campagnes overbruggen, waardoor onderzoekers deze aan een gemeenschappelijke dader kunnen toeschrijven, zelfs als de technische voetafdruk van de malware verschilt”, zegt ze.
Ngoc Bui, cybersecurity-expert bij Menlo Security, zegt dat het begrijpen van de relaties tussen verschillende malwarefamilies die verband houden met dezelfde dreigingsactoren essentieel is.
“Het helpt bij het opbouwen van een uitgebreider dreigingsprofiel en het identificeren van de tactieken en motivaties van deze bedreigingsactoren”, zegt Bui.
Als onderzoekers bijvoorbeeld verbanden vinden tussen DarkGate, Ducktail, Lobshot en Redline Stealer, kunnen ze mogelijk concluderen dat een enkele actor of groep betrokken is bij meerdere campagnes, wat duidt op een hoog niveau van verfijning.
“Het kan analisten ook helpen bepalen of meer dan één bedreigingsgroep samenwerkt, zoals we zien bij ransomwarecampagnes en -inspanningen”, voegt Bui toe.
MaaS heeft invloed op het landschap van cyberdreigingen
Bui wijst erop dat de beschikbaarheid van DarkGate als dienst aanzienlijke gevolgen heeft voor het cybersecuritylandschap.
“Het verlaagt de toegangsdrempel voor aspirant-cybercriminelen die mogelijk geen technische expertise hebben”, legt Bui uit. “Als gevolg hiervan kunnen meer individuen of groepen toegang krijgen tot geavanceerde malware zoals DarkGate en deze inzetten, waardoor het algehele dreigingsniveau toeneemt.”
Bui voegt eraan toe dat Malware-as-a-Service (MaaS) cybercriminelen een handige en kosteneffectieve manier biedt om aanvallen uit te voeren.
Voor cybersecurityanalisten vormt dit een uitdaging, omdat zij zich voortdurend moeten aanpassen aan nieuwe bedreigingen en rekening moeten houden met de mogelijkheid dat meerdere bedreigingsactoren dezelfde malwareservice gebruiken.
Het kan het volgen van de dreigingsactor die de malware gebruikt, ook iets moeilijker maken, omdat de malware zelf mogelijk teruggaat naar de ontwikkelaar en niet naar de dreigingsactor die de malware gebruikt.
Paradigmaverschuiving in de verdediging
Guenther zegt dat om het moderne, steeds evoluerende landschap van cyberdreigingen beter te begrijpen, een paradigmaverschuiving in defensiestrategieën te laat is.
“Het omarmen van op gedrag gebaseerde detectiesequenties en het benutten van AI en ML maakt de identificatie van afwijkend netwerkgedrag mogelijk, waardoor de eerdere beperkingen van op handtekeningen gebaseerde methoden worden overtroffen”, zegt ze.
Bovendien kan het bundelen van informatie over dreigingen en het bevorderen van de communicatie over opkomende dreigingen en tactieken in de verticale sectoren van de sector vroegtijdige detectie en mitigatie bevorderen.
“Regelmatige audits, die netwerkconfiguraties en penetratietests omvatten, kunnen preventief kwetsbaarheden aan het licht brengen”, voegt Guenther toe. “Bovendien wordt een goed geïnformeerd personeelsbestand, getraind in het herkennen van hedendaagse bedreigingen en phishing-vectoren, de eerste verdedigingslinie van een organisatie, waardoor het risicoquotiënt aanzienlijk wordt verminderd.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- : heeft
- :is
- :niet
- $UP
- 2018
- 7
- a
- in staat
- Over
- toegang
- over
- Handelen
- acties
- activiteiten
- activiteit
- actoren
- aanpassen
- Voegt
- Na
- tegen
- AI
- toestaat
- ook
- altijd
- an
- analist
- analisten
- geanalyseerd
- en
- schijnbaar
- ZIJN
- armen
- AS
- eerzuchtig
- ervan uitgaan
- At
- Aanvallen
- pogingen
- audits
- auteur
- beschikbaarheid
- terug
- aas
- barrière
- BE
- werd
- omdat
- wordt
- geweest
- gedrag
- achter
- wezen
- Betere
- tussen
- BRUG
- Gebouw
- by
- Campagne
- Campagnes
- CAN
- in staat
- kaart
- katalyseren
- uitdagen
- veranderd
- TROS
- Gemeen
- Communicatie
- begrijpen
- uitgebreid
- concludeert
- Gedrag
- versterken
- aansluitingen
- toestemming
- Overwegen
- consequent
- hedendaags
- permanent
- gemakkelijk
- Correlatie
- kostenefficient
- aangemaakt
- Credits
- creditkaart
- kritisch
- cryptogeld
- Cryptojacking
- cyber
- cybercrime
- cybercriminelen
- Cybersecurity
- gegevens
- decoderen
- Verdediging
- leveren
- levering
- veeleisende
- implementeren
- gegevens
- Opsporing
- Bepalen
- vastbesloten
- Ontwikkelaar
- apparaat
- systemen
- DEED
- anders
- gedifferentieerde
- moeilijk
- verdelen
- documenten
- rit
- elk
- Vroeg
- inspanningen
- omarmen
- waardoor
- allesomvattende
- toegang
- essentieel
- Zelfs
- evoluerende
- voorbeeld
- uitvoeren
- expert
- expertise
- Verklaart
- gezinnen
- Dien in
- Bestanden
- financieel
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- richt
- Footprint
- Voor
- gerechtelijk
- het bevorderen van
- oppompen van
- functionaliteit
- functies
- verder
- kloof
- gaf
- Groep
- Groep
- Hebben
- he
- hulp
- helpt
- Hoge
- zeer
- HTTPS
- ID
- Identificatie
- het identificeren van
- if
- impactvolle
- Effecten
- uitvoering
- implicaties
- verbeteren
- in
- Inclusief
- meer
- Indië
- indicatoren
- individuen
- -industrie
- informatie
- eerste
- inzichten
- Intelligentie
- in
- onschatbaar
- onderzoek
- betrokken zijn
- IT
- HAAR
- zelf
- jpg
- Houden
- kennis
- Gebrek
- Landschap
- Verlof
- Niveau
- leveraging
- als
- Waarschijnlijk
- beperkingen
- Lijn
- gekoppeld
- links
- Elke kleine stap levert grote resultaten op!
- maken
- malware
- Malware-as-a-Service (MaaS)
- manager
- Mei..
- middel
- berichten
- Metadata
- methoden
- macht
- verzachting
- ML
- Modern
- gewijzigd
- Manier
- meer
- Bovendien
- motivaties
- meervoudig
- Dan moet je
- namen
- netwerk
- New
- bekend
- Opmerkingen
- berucht
- nummers
- of
- bieden
- aanbod
- on
- EEN
- online.
- open
- open source
- operatie
- or
- organisatie
- organisaties
- Overige
- uit
- totaal
- het te bezitten.
- paradigma
- wachtwoorden
- patronen
- betaling
- doordringen
- Phishing
- Spil
- Plato
- Plato gegevensintelligentie
- PlatoData
- punten
- vormt
- mogelijkheid
- mogelijk
- potentieel
- vorig
- Profiel
- zorgen voor
- Race
- reeks
- Losgeld
- ransomware
- snel
- RAT
- recent
- herkennen
- vermindering
- regelmatig
- Relaties
- vanop
- remote access
- HERHAALDELIJK
- verslag
- Rapportage
- onderzoek
- onderzoekers
- resultaat
- Risico
- s
- Zei
- dezelfde
- zegt
- veiligheid
- zien
- senior
- gevoelig
- service
- Diensten
- ze
- verschuiving
- aanzienlijke
- gelijk
- sinds
- single
- Skype
- geraffineerd
- verfijning
- bron
- specifiek
- begin
- gestart
- Stephen
- stammen
- strategieën
- sterke
- wezenlijk
- dergelijk
- Stelt voor
- overtreffen
- tactiek
- doelwit
- targeting
- doelen
- teams
- Technisch
- technieken
- testen
- neem contact
- dat
- De
- Brittannië
- hun
- Ze
- harte
- Deze
- ze
- dit
- die
- bedreiging
- bedreigingsactoren
- bedreigingen
- Door
- Ties
- naar
- samen
- Tracking
- getraind
- Trojaans
- Uk
- ongedekt
- begrip
- bijgewerkt
- us
- gebruikt
- Gebruiker
- gebruik
- variëteit
- verticals
- zeer
- slachtoffers
- Vietnamees
- kwetsbaarheden
- was
- we
- GOED
- waren
- wanneer
- welke
- WIE
- breed
- Grote range
- vegen
- Met
- zonder
- Workforce
- werkzaam
- zephyrnet