Een recent ontdekte malware werd gebruikt om te doelen op diplomatieke missies en overheidsinstellingen in België, Slovakije, Brazilië, Chili en Guatemala. De uit China opererende Ke3chang-groep zou achter de cyberspionage zitten.
De bevinding staat in een onderzoeksrapport van securityspecialist Eset. Hun onderzoeksteam ontdekte een nieuwe versie van de malware-families gekoppeld aan de zogenaamde Ke3chang APT-groep, samen met een eerder ongekende backdoor. Volgens Eset is deze groep sinds een aantal jaren vanuit China actief.
De recent ontdekte backdoor, Okrum genaamd, dook eerst in 2016 op. Het werd gebruikt diplomatieke missies en overheidsinstellingen in België, Slovakije, Brazilië, Chili en Guatemala te viseren. Al gaat het rapport niet in detail over de Belgische aanvallen en implicaties.
Ketrican en Okrum
Daarnaast bleef Eset nieuwe versies van de gekende malware-families detecteren, toegeschreven aan de Ke3chang APT-groep.
In onderzoek dat tot 2015 teruggaat, identificeerde Eset nieuwe verdachte activiteiten in Europese landen. De groep achter deze aanvallen scheen bijzondere aandacht te hebben voor Slovakije. Ook ander meer Kroatië en Tsjechië werden getroffen. Bij analyses van deze aanvallen, ontdekten onderzoekers dat de aanval banden had met gekende malware-families verbonden aan de Ke3chang APT-groep. Ze gaven deze nieuwe versies de naam Ketrican.
Op het einde van 2016 ontdekten de onderzoekers dat een voorheen onbekende backdoor gericht was op dezelfde doelwitten in Slovakije als deze die in 2015 de doelwitten van Ketrican waren. De nieuwe backdoor, die dus de naam Okrum meekreeg, bleef actief in 2017.
‘We ontdekten dat de Okrum backdoor gebruikt werd om een Ketrican-backdoor te droppen die in 2017 was samengesteld. Bovendien bleken bepaalde diplomatieke entiteiten, die in 2015 getroffen waren door de Okrum-malware, ook getroffen door de Ketrican backdoors uit 2017’, oppert Zuzana Hromcova, onderzoekster van Eset, die tot in maart van dit jaar een nieuw Ketrican-staal ontdekte.
Eenzelfde werkwijze
Het onderzoek toont volgens Eset dus aan dat de nieuwe backdoor Okrum aan de Ke3chang-groep kan toegeschreven worden. Naast de gedeelde doelwitten, heeft Okrum eenzelfde werkwijze als de voorheen gedocumenteerde Ke3chang-malware.
Okrum is, volgens Hromcova, bijvoorbeeld enkel uitgerust met standaard backdoord-opdrachten en is afhankelijk van met de hand ingevoerde opdrachten en van het uitvoeren van externe tools voor de meeste van zijn schadelijke activiteiten. ‘Dit is de standaard werkwijze van de Ke3chang-groep bij de eerder onderzochte campagnes’, klinkt het.
Technisch niet complex
Al wijzigen de hackers om de paar maanden de implementatie van de Okrum laad- en installatiecomponenten om een eventuele detectie te voorkomen. ‘Ondanks het feit dat de malware technisch niet complex is, kunnen we met zekerheid vaststellen dat de kwaadwillige daders achter Okrum probeerden onopgemerkt te blijven.’ Of hoe de Ke3chang APT-groep dus al jaren zijn slag tracht te slaan.
