Russische APT-groep Gamaredon voert gerichte spearphishingcampagnes uit tegen Oekraïne

Uit het meest recente onderzoek van ESET blijkt dat de groep zeer actief blijft en zich consequent op Oekraïne richt, met een duidelijke aanpassing van hun tactieken en hulpmiddelen. Hun doel: cyberespionage in lijn met de geopolitieke belangen van Rusland. Afgelopen jaar werden de schaal én frequentie van spearphishingcampagnes aanzienlijk verhoogd, met nieuwe aflevermethoden, en één aanvalspayload werd uitsluitend gebruikt voor het verspreiden van Russische propaganda.

De spearphishingactiviteiten van Gamaredon namen vooral toe in de tweede helft van 2024. Campagnes duurden doorgaans één tot vijf dagen en e-mails bevatten kwaadaardige comprimeerde bestanden (RAR, ZIP, 7z) of XHTML-bestanden die HTML-smugglingtechnieken toepasten. Deze bestanden leverden kwaadaardige HTA- of LNK-bestanden die ingebedde VBScript-downloaders uitvoerden, zoals PteroSand. In oktober 2024 observeerde ESET een zeldzame afwijking waarbij de spearphishing-e-mails kwaadaardige hyperlinks in plaats van bijlagen bevatten. Ook introduceerde Gamaredon een nieuwe techniek waarbij kwaadaardige LNK-bestanden PowerShell-opdrachten uitvoerden vanaf door Cloudflare gegenereerde domeinen, wat bepaalde traditionele detectiemechanismen omzeilde.

De toolset van Gamaredon werd op meerdere manieren geüpdatet. Hoewel er minder nieuwe tools werden geïntroduceerd, werd er aanzienlijk geïnvesteerd in de verbetering van bestaande tools. Nieuwe tools waren voornamelijk gericht op stealth, persistentie en laterale beweging. Bestaande tools kregen grote upgrades, waaronder geavanceerdere verbergtechnieken, verbeterde stealthtactieken en verfijnde methodes voor laterale beweging en gegevensonttrekking.

VBScript-payload

“Een opvallende ontdekking was in juli 2024: een unieke ad-hoc VBScript-payload die door Gamaredon-downloaders werd verspreid. Deze payload had geen enkele spionagefunctionaliteit, maar was uitsluitend bedoeld om automatisch een Telegram-propagandakanaal te openen, genaamd Guardians of Odessa, dat pro-Russische boodschappen verspreidt gericht op de regio Odessa,” aldus ESET-onderzoeker Zoltán Rusnák, die de activiteiten van Gamaredon volgt.

Bovendien toonde Gamaredon in 2024 voortdurende inzet om netwerkgebaseerde verdedigingen te ontwijken. Hoewel op kleinere schaal, bleef de groep gebruikmaken van fast-flux DNS-technieken, waarbij IP-adressen achter hun domeinen voortdurend werden gewisseld. Steeds vaker deed Gamaredon een beroep op externe diensten zoals Telegram, Telegraph, Codeberg, Dropbox en Cloudflare-tunnels om hun C&C-infrastructuur te verbergen en dynamisch te verspreiden.

“Hoewel Gamaredon beperkte capaciteiten heeft en oudere tools laat vallen, blijft het een significante dreigingsactor vanwege voortdurende innovatie, agressieve spearphishingcampagnes en aanhoudende inspanningen om detectie te vermijden. Zolang de oorlog van Rusland tegen Oekraïne voortduurt, verwachten wij dat Gamaredon zijn tactieken verder zal ontwikkelen en zijn cyberespionageactiviteiten tegen Oekraïense instellingen zal intensiveren,” besluit Rusnák.

Voor een gedetailleerde analyse en technische beschrijving van Gamaredons toolset, raadpleeg het nieuwste ESET Research-whitepaper: Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset op WeLiveSecurity.com. Volg ESET Research op Twitter (X) en BlueSky voor het laatste nieuws.