HarfangLab, een Europese cybersecurity-aanbieder, heeft een aanhoudende cyberspionagecampagne geïdentificeerd die wordt toegeschreven aan de aan Rusland gelinkte dreigingsactor Gamaredon, en wijst op een nieuwe golf van malware die is gericht op Oekraïense militaire en overheidsinstanties. De onderzoekers van HarfangLab delen een gedetailleerde technische analyse van Gamaredons PteroLNK VBScript-malware om zowel cyberbeveiligingsspelers als organisaties, zelfs kleine en middelgrote, in staat te stellen de blootstelling te beoordelen en hun verdediging te versterken.
Hoewel de toeschrijving complex blijft, wordt in de cyberbeveiligingsgemeenschap algemeen erkend dat Gamaredon banden heeft met de Russische Federale Veiligheidsdienst (FSB), die zich richt op signaalintelligentie en informatiebeveiliging. Tot de historische doelwitten behoren Oekraïense overheidsinstellingen, kritieke infrastructuur en militaire commando's. Voorbeelden van de recente campagne duiden op een aanhoudende focus op dergelijke sectoren.
“De effectiviteit van Gamaredon ligt niet in de technische geavanceerdheid, maar in het tactische aanpassingsvermogen: high-tempo operaties, meedogenloze updates. Ze genereren massaal zwaar versleutelde malware, updaten dagelijks dead drop resolvers om naar nieuwe infrastructuurtunnels te verwijzen en handhaven een lage detectiegraad”, aldus Ariel Jungheit, Lead Threat Researcher bij HarfangLab, betrokken bij het onderzoek.
De activiteit die HarfangLab identificeerde startte eind 2024 en markeert een voortzetting van de tien jaar lange operaties van Gamaredon, gericht op Oekraïne. Dit nieuwste onderzoek onthult actieve infecties met behulp van een nieuwe variant van de bekende Pterodo malware toolkit van de groep, met updates van de command-and-control kanalen, waardoor de veerkracht is verbeterd.
"We hebben een nieuwe versie van malware uit hun bekende Pterodo-ecosysteem geanalyseerd, genaamd Ptero-LNK. We vonden samples die teruggaan tot december 2024 en die zich kunnen verspreiden via USB-sticks en gedeelde netwerken door documenten en mappen te vervangen door kwaadaardige snelkoppelingen. Dus als één computer geïnfecteerd is, kan deze zich gemakkelijk verspreiden. Eenmaal geïnfecteerd, fungeert de malware ook als downloader voor extra payloads", legt Jungheit uit. "Het doel van Gamaredon blijft consistent: surveillance en verstoring van de Oekraïense verdediging ter ondersteuning van de militaire doelstellingen van Rusland. Wat deze campagne onderscheidt, is niet alleen de persistentie en omvang, maar ook het feit dat deze tot op de dag van vandaag actief is."
Hoewel HarfangLab in deze campagne geen direct bewijs vond voor bredere Europese doelwitten, suggereren eerdere incidenten van Gamaredon in buurlanden dat regionale impact mogelijk is, met name richting landen die nauw samenwerken met Oekraïne op diplomatiek of militair vlak.
Samenwerking en transparantie om beveiliging te versterken
In tegenstelling tot wat gangbaar is in bredere industrierapporten biedt de analyse van HarfangLab openbaar toegankelijke indicatoren van compromittering (IOC's) en gedetailleerde uitsplitsingen van malwaregedrag, waardoor kleine en middelgrote organisaties - niet alleen grote spelers op het gebied van cyberbeveiliging - de blootstelling kunnen beoordelen en hun verdediging kunnen versterken.
"Gamaredon is meester in het verdoezelen van malware. Hun malware ontwijkt statische en geautomatiseerde analysetools. Zelfs nu, maanden na de eerste verschijning, zijn de detectiepercentages laag: slechts 6 van de 61 antivirusprogramma's detecteren enkele van deze samples. Dat toont aan hoe effectief de methoden van Gamaredon zijn", aldus Jungheit. "We willen organisaties in staat stellen om de controle over hun beveiliging te nemen. In een vakgebied dat steeds meer gesloten en competitief is geworden, geloven wij in samenwerking en transparantie. Dit onderzoek is gedetailleerd, bruikbaar en ontworpen om teams te helpen de dreiging te detecteren, of het nu gaat om kleine SOC-teams of grote cybersecuritybedrijven. Detectie is nog niet wijdverbreid en we hopen dat dit de detectiepercentages zal verhogen.”
De bevindingen van het team worden beschikbaar gesteld aan vertrouwde partners en de bredere beveiligingsgemeenschap, zie
deze pagina voor meer informatie.
-----
Over HarfangLab
HarfangLab is een Europees cybersecuritybedrijf dat gespecialiseerd is in endpoint protection. HarfangLab publiceert technologieën die cyberaanvallen op computers en servers anticiperen en neutraliseren, en die een beter inzicht bieden in uw IT-infrastructuur voor een betere beveiliging. HarfangLab was de eerste EDR die door ANSSI werd gecertificeerd en heeft vandaag de dag een groot aantal klanten, waaronder overheden, bedrijven en internationale organisaties die actief zijn in zeer gevoelige sectoren. De oplossingen van HarfangLab onderscheiden zich door: hun openheid, met oplossingen die naadloos integreren met alle andere beveiligingscomponenten; hun transparantie, omdat de door de tools verzamelde gegevens toegankelijk blijven; en de strategische autonomie die ze bieden, omdat klanten vrij zijn om hun hostingmodus te kiezen: cloud, public, private of SecNumCloud, of hun eigen infrastructuur.