Oekraïense boekhoudsoftware M.E.Doc blijkt backdoor te bevatten
In de Oekraïense boekhoudsoftware M.E.Doc is een backdoor aangetroffen die de aanvallers hebben misbruikt om de ransomware NotPetya (ook bekend als ExPetr, PetrWrap en Petya) te verspreiden. Deze backdoor is geïnjecteerd in legitieme modules van de boekhoudsoftware.
Dit meldt ESET. Het beveiligingsbedrijf noemt het ‘zeer onwaarschijnlijk’ dat de aanvallers in staat zijn geweest de backdoor te injecteren in legitieme modules zonder dat zij toegang hadden tot de broncode van M.E.Doc. De backdoor blijkt sinds april 2017 te worden meegestuurd met updates die zijn verspreid door het Oekraïense bedrijf. Het gaat om de volgende updates:
- 01.175-10.01.176, vrijgegeven op 14 april 2017
- 01.180-10.01.181, vrijgegeven op 15 mei 2017
- 01.188-10.01.189, vrijgegeven op 22 juni 2017
Xdata ransomware
ESET wijst erop dat een eerdere uitbraak van de ransomware Xdata slechts drie dagen na het vrijgeven van update 01.180-10.01.181 plaatsvond. Dit terwijl de ransomware Petya vijf dagen na het vrijgeven van 01.188-10.01.189 werd verspreid. Opvallend is dat de backdoor in vier updates die tussen 24 april 2017 en 10 mei 2017 zijn vrijgegeven niet aanwezig is. Ook in zeven updates die tussen 17 mei 2017 en 21 juni 2017 zijn vrijgegeven is de backdoor niet aangetroffen.
Het beveiligingsbedrijf wijst erop dat de update van 15 mei de backdoor module bevat, terwijl deze in de update van 17 mei is verdwenen. ESET vermoedt dat dit zonder medeweten van de cybercriminelen achter Xdata is gebeurd en de plannen van de aanvallers in de war heeft gegooid. Xdata werd namelijk op 18 mei verspreid, terwijl het overgrote deel van de M.E.Doc de update van 17 mei al had geïnstalleerd die de backdoor niet bevat. Dit verklaart volgens het ESET waarschijnlijk de kleine hoeveelheid besmettingen met de ransomware Xdata.
Communicatie via legitieme servers
Ook opvallend is dat de backdoor module niet communiceert met externe servers of Command & Control servers. De module communiceert uitsluitend via reguliere update-controleverzoeken van de M.E.Doc software, die worden verzonden naar de legitieme M.E.Doc server upd.me-doc.com[.]ua. Het enige verschil met een legitiem verzoek is dat de backdoor module de verzamelde informatie meestuurt als cookies.
In een eerdere blogpost meldde ESET al dat er tekenen zijn dat de aanvallers toegang hebben weten te verkrijgen tot de legitieme server van M.E.Doc. De nieuwe bevindingen versterken dit vermoeden. ESET stelt dat de aanvallers waarschijnlijk software op de server hebben geïnstalleerd die onderscheid maakt tussen communicatie van gecompromitteerde klanten van M.E.Doc met de server en communicatie van niet-gecompromitteerde klanten.
Meer over
Lees ook
Blue Coat Systems breidt ETM Ready Programma uit met zeven nieuwe partners
Blue Coat Systems, leverancier van IT-beveiligingsoplossingen, heeft zeven nieuwe partners toegevoegd aan het Blue Coat Encrypted Traffic Management (ETM) Ready Programma, waarmee het totaal aantal partners uitkomt op 17. Deze groep van leveranciers van IT-beveiligingsoplossingen werkt samen om klanten te helpen bij het blootleggen en bestrijden v1
The White Team hackt ruim 10.000 routers om deze beter te beveiligen
Een groep hackers verspreidt malware die inbreekt op routers en vervolgens de beveiliging van de apparaten verbeterd. De opvallende actie is opgeëist door een hackersgroep die zichzelf ‘The White Team’ noemt. De malware is ontdekt door Symantec, die werd getipt door een onafhankelijke onderzoeker. Deze had de malware op zijn eigen router aangetrof1
Cybercriminelen verstoppen malware in populaire Android games
Cybercriminelen hebben een backdoor trojan vermomd als populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero Adventure. De software werd aangeboden in de officiële Google Play Store. Slachtoffers die één van de games dachten te downloaden installeerden in werkelijkheid ongemerkt malware op hun Android smartphone of tablet. ESET1