Martijn Kregting - 04 oktober 2021

Onderzoekers Kaspersky vinden geavanceerde spyware, nieuwe threat actor

Onderzoekers Kaspersky vinden geavanceerde spyware, nieuwe threat actor image

Tijdens The Security Analyst Summit 2021 werden pas ontdekte APT’s (Advanced Perstistance Threats), inzichten uit onderzoeken en de laatste cybersecuritytrends gedeeld. Zo presenteerden onderzoekers van Kaspersky een uitgebreid onderzoek naar alle recente updates die zijn ingevoerd in FinSpy spyware voor Windows, Mac OS, Linux, en de installatieprogramma's ervan. Het bedrijf deelde ook kennis over nieuwe malware met verschillende belangrijke kenmerken die de malware mogelijk in verband brengt met DarkHalo – de threat actor achter de Sunburst-aanval in december 2020.

De onderzoekers van Kaspersky presenteerden een uitgebreid onderzoek naar alle recente updates die zijn geïntroduceerd in FinSpy-spyware voor Windows, Mac OS, Linux en zijn installatieprogramma's. Het onderzoek onthult vierlaagse verduistering en geavanceerde anti-analysemaatregelen die worden gebruikt door de ontwikkelaars van de spyware, evenals het gebruik van een UEFI-bootkit om slachtoffers te infecteren. De bevindingen suggereren dat er veel nadruk wordt gelegd op het ontwijken van defensie, waardoor FinFisher tot op heden een van de moeilijkst te detecteren spyware is.

FinFisher, ook bekend als FinSpy of Wingbird, is een bewakingstool die Kaspersky sinds 2011 volgt. Het is in staat om verschillende inloggegevens, bestandslijsten en verwijderde bestanden te verzamelen, evenals verschillende documenten, livestreaming of opname van gegevens en toegang te krijgen tot een webcam en microfoon. De Windows-'implants' werden tot 2018 verschillende keren gedetecteerd en onderzocht, toen FinFisher onder de radar leek te zijn verdwenen.

Verdachte installatieprogramma's

Verder vonden Kaspersky-onderzoekers verdachte installatieprogramma's van legitieme programma's zoals TeamViewer, VLC Media Player en WinRAR, die kwaadaardige code bevatten die niet kon worden gekoppeld aan bekende malware. Dat wil zeggen, totdat ze op een dag een website in het Birmaans ontdekten die de geïnfecteerde installatieprogramma's en voorbeelden van FinFisher voor Android bevatte. Daarmee konden ze identificeren dat ze waren getrojaniseerd met dezelfde spyware. Deze ontdekking zette Kaspersky-onderzoekers ertoe aan om FinFisher verder te onderzoeken.

In tegenstelling tot bij eerdere versies van de spyware, die de trojan meteen in de geïnfecteerde toepassing bevatte, werden nieuwe voorbeelden beschermd door twee componenten: niet-permanente Pre-validator en een Post-Validator. Het eerste onderdeel voert meerdere beveiligingscontroles uit om er zeker van te zijn dat het apparaat dat het infecteert, niet van een beveiligingsonderzoeker is. Pas wanneer de controles slagen, wordt de Post-Validator-component geleverd door de server - deze component zorgt ervoor dat het geïnfecteerde slachtoffer het beoogde slachtoffer is. Alleen dan zou de server de implementatie van het volwaardige Trojaanse platform bevelen.

FinFisher is zwaar versluierd met vier complexe op maat gemaakte obfuscators. De primaire functie hiervan is het vertragen van de analyse van de spyware. Bovendien gebruikt de Trojan eigenaardige manieren om informatie te verzamelen. Het gebruikt bijvoorbeeld de ontwikkelaarsmodus in browsers om verkeer te onderscheppen dat is beveiligd met een HTTPS-protocol.

Geplande taakeigenschappen

De onderzoekers ontdekten ook een voorbeeld van FinFisher dat de Windows UEFI-bootloader verving - een onderdeel dat het besturingssysteem start na het starten van de firmware, samen met een kwaadaardig onderdeel. Door deze manier van infectie konden de aanvallers een bootkit installeren zonder de beveiligingscontroles van de firmware te omzeilen.

UEFI-infecties zijn zeer zeldzaam en over het algemeen moeilijk uit te voeren, ze vallen op door hun ontwijkbaarheid en persistentie. Hoewel de aanvallers in dit geval niet de UEFI-firmware zelf infecteerden, maar in de volgende opstartfase, was de aanval bijzonder onopvallend omdat de kwaadaardige module op een aparte partitie was geïnstalleerd en het opstartproces van de geïnfecteerde machine kon controleren.

'Zorgwekkend'

“De hoeveelheid werk die erin is gestoken om FinFisher niet toegankelijk te maken voor beveiligingsonderzoekers is bijzonder zorgwekkend en enigszins indrukwekkend", zegt Igor Kuznetsov, hoofdonderzoeker obeveiliging bij Kaspersky's Global Research and Analysis Team. "Het lijkt erop dat de ontwikkelaars minstens evenveel werk hebben gestoken in verduistering en anti-analysemaatregelen als in de Trojan zelf. Als gevolg hiervan is het vermogen van deze spyware om detectie en analyse te omzeilen, bijzonder moeilijk op te sporen en te detecteren."

Het feit dat deze spyware met hoge precisie wordt ingezet en praktisch onmogelijk te analyseren is, betekent volgens Kuznetsov ook dat de slachtoffers bijzonder kwetsbaar zijn. De onderzoekers staan daarmee voor een speciale uitdaging: een overweldigende hoeveelheid middelen moeten investeren om elk monster te ontwarren. "Ik ben van mening dat complexe bedreigingen zoals FinFisher het belang aantonen voor beveiligingsonderzoekers om samen te werken en kennis uit te wisselen en om te investeren in nieuwe soorten beveiligingsoplossingen die dergelijke bedreigingen kunnen bestrijden."

Axians 12/11/2024 t/m 26/11/2024 BN+BW