Drie opvallende cyberontwikkelingen van Q2: accountovernames, spionagecampagnes en datadiefstalprogramma’s

Accountovernames door TeamFiltration

Onderzoekers ontdekten recent een account takeover campagne, UNK_SneakyStrike genoemd. Deze campagne gebruikt het TeamFiltration pentesting framework om zich te richten op Entra ID gebruikersaccounts via de Microsoft Teams API en Amazon Web Services (AWS) servers. De aanvallers verkregen toegang tot native applicaties zoals Microsoft Teams, OneDrive en Outlook.

Volgens de bevindingen heeft UNK_SneakyStrike sinds december 2024 meer dan 80.000 gerichte gebruikersaccounts in honderden organisaties getroffen, wat in verschillende gevallen leidde tot succesvolle account takeovers. Aanvallers maken gebruik van de Microsoft Teams API en AWS-servers op verschillende locaties voor het opsommen van gebruikers en het achterhalen van wachtwoorden. Met behulp van een combinatie van unieke kenmerken konden onderzoekers ongeautoriseerde activiteit van TeamFiltration detecteren en volgen.

Hoewel tools als TeamFiltration zijn ontworpen om cybersecurityteams te helpen bij het testen en verbeteren van securityoplossingen, worden deze ook gemakkelijk gebruikt door dreigingsactoren. Zij gebruiken deze voor het compromitteren van gebruikersaccounts, het exfiltreren van gevoelige data en het opzetten van aanhoudende hindernissen. Proofpoint verwacht dat dreigingsactoren steeds vaker gebruik zullen maken van geavanceerde inbraaktools en -platforms als TeamFiltration, gezien ze afstappen van minder effectieve inbraakmethodes.

Achtjarige spionagecampagne TA397

Spionagecampagne TA397 richt zich voornamelijk op Europese instanties die banden hebben met China, Pakistan en andere Indiase buurlanden. Ook richten ze zich op China en Zuid-Amerika, waarbij ze zich focussen op overheden, diplomatieke instanties en verdedigingsorganisaties. De doelwitten, de onderwerpen en het gebruikte lokaas wijzen allemaal naar de inlichtingenbelangen van India.

Volgens Proofpoint Threat Research is het erg aannemelijk dat TA397 een staatgesponsorde dreigingsactor is, met de opdracht om intelligentie te verzamelen die relevant is voor India. De groep experimenteert vaak met hun leveringsmethoden om geplande taken te laden. Deze geplande taken, PHP URL-patronen, opname van de computer- en gebruikersnaam van het slachtoffer in de beaconing, en Let’s Encrypt-certificaten op de servers van de aanvallers, resulteren in het achterlaten van een zeer betrouwbare vingerafdruk om de activiteiten van de groep te detecteren.

TA397 richt zich vaak op organisaties en instanties in Europa die interesse of aanwezigheid hebben in China, Pakistan en andere buurlanden van India. De actieve uren en operaties van de infrastructuur van TA397 komen overeen met de standaard werkuren van de Indian Standard Time (IST) tijdzone.

TA397 doet zich voor als buitenlandse bureaus, ambassades en overheidsinstanties van Madagascar, Mauritius en meer. Dit indiceert dat zij niet alleen kennis hebben van de zaken van deze landen, maar dat ze deze kennis ook inzetten om hun operaties legitimiteit te geven. Daarbij is TA397 erg bekend met de standaardpraktijken van overheden, gezien zij legitieme en vervalsde documentatie, onderwerpsregels en inhoud gebruiken van binnen- en buitenlandse regeringszaken. Ook zijn er suggesties dat TA397 onderdeel is van een tool sharing ecosysteem van Indiase staatsgesponsorde actoren. Toch moet er meer onderzoek gedaan worden of deze groepen met een centrale ‘quartermaster’ werken, die hen verschaft van interne of externe ontwikkelingsmiddelen.

Lumma Stealer

Microsoft is gaan samenwerken met wetshandhaving om datadiefstalprogramma Lumma Stealer aan te pakken. Selena Larson, Senior Threat Intelligence Analyst bij Proofpoint, vertelt daar het volgende over:

“Lumma Stealer is een erg populair datadiefstalprogramma en wordt gebruikt in campagnes van meer ontwikkelde cybercriminelen, in tegenstelling tot dreigingsactoren die basisprogramma’s gebruiken. Het is een malware-as-a-service (MaaS) en wordt gekocht door een groot aantal verschillende dreigingsactoren voor veel uiteenlopende campagnes. Het is de meest populaire MaaS in onze gegevens.

Lumma Stealer is een van de meest populaire MaaS-programma’s. Het neerhalen ervan zal een positieve impact hebben op het dreigingslandschap. Hoewel het waar is dat dreigingsactoren die Lumma Stealer gebruiken mogelijk overstappen op andere payloads, kunnen verstoringen van de infrastructuur verdere gevolgen hebben. Dreigingsactoren kunnen bijvoorbeeld voorzichtig zijn met het kopen van malware in de toekomst, of voorzichtig zijn met het werken met criminelen die geassocieerd worden met die malware. Ook is het mogelijk dat andere malware die Lumma Stealer ‘vervangt’, niet dezelfde functies, functionaliteit of gemaksgebruik met zich meebrengt. Voorheen zagen wij dat malwareverstoringen een significante impact hebben om het dreigingslandschap. Na de verstoring van Operation Endgame van afgelopen jaar verdwenen bijvoorbeeld de aanvankelijke toegangsmalware en de actoren die de malware gebruikten grotendeels uit het landschap van e-maildreigingen.

Lumma Stealer is een MaaS die wordt geadverteerd voor aankoop van andere dreigingsactoren en bestaat al sinds 2022. Lumma Stealer is het afgelopen jaar in populariteit gestegen en wordt door meerdere bedreigingsactoren gebruikt. Proofpoint ziet dat Lumma Stealer wordt afgeleverd via meerdere aanvalsketens, waaronder e-mails met URL's of bijlagen met URL's die leiden naar Lumma Stealer, gecompromitteerde websites die webinjecties bevatten (zoals “nepupdate”-thema's) die leiden tot de installatie van Lumma Stealer, neppe YouTube-videogame cracks met URL's in de comments die leiden naar Lumma Stealer, en schadelijke en SEO-injecties om kwaadaardige websites die Lumma Stealer distribueren hoog te laten verschijnen in zoekopdrachten. Veel van de Lumma Stealer-campagnes die we zien, maken gebruik van de ClickFix-techniek, een social engineering-techniek die nietsvermoedende mensen probeert te verleiden om PowerShell te kopiëren en uit te voeren, om zo malware te downloaden.”

Amatera Stealer

Onderzoekers van Proofpoint hebben een nieuwe MaaS ontdekt, Amatera Stealer genaamd. Dit is een vernieuwde en geüpgradede versie van de ACR Stealer. Deze nieuwste variant introduceert nieuwe functies, zoals geavanceerde afleveringsmechanismen, anti-analyseverdediging en een vernieuwde controlestructuur. Hierdoor is deze stealer meer verborgen en gevaarlijker. Deze wordt verkocht als abonnementsplan door makkelijk bereikbare online panels. Deze panels hebben klantenservice via Telegram, waardoor Amatera het makkelijker maakt voor cybercriminelen om datadiefstalcampagnes te beginnen.

Proofpoint identificeerde een vernieuwde versie van ACR Stealer, genaamd Amatera Stealer. Het wordt geleverd door webinjecties door middel van geavanceerde aanvalsketens. Amatera Stealer, wat verkocht wordt als MaaS, wordt actief ontwikkeld. Recente updates aan Amatera Stealer introduceren interessante anti-analysefuncties, waardoor de malware geavanceerder wordt. Recente builds van Amatera Stealer gebruiken niet langer Steam en Telegram dead drops voor command en controle.

Nu informatiestelers populairder worden in het dreigingslandschap, worden identificatie, reverse engineering en detectie van deze opkomende dreigingen cruciaal. Amatera Stealer wordt actief verbeterd om te voorkomen dat de malware wordt gedetecteerd door geautomatiseerde analyse en endpoint-detectieagenten. Terwijl de malware actief in ontwikkeling is om geavanceerder te worden, wordt het ook gebruikt door dreigingsactoren met slimme aanvalsketens, met ongebruikelijke obfuscatie en filtering, evenals de ClickFix social engineering-techniek. Organisaties moeten zich bewust zijn van de volledige aanvalsketen en hiertegen verdedigingen implementeren. Hieronder valt het opleiden van gebruikers over veelgebruikte loktechnieken door ze op te nemen in bestaande beveiligingstrainingen en door gemiddelde gebruikers te beperken in het uitvoeren van ongeautoriseerde PowerShell-scripts.