Oekraïense boekhoudsoftware M.E.Doc blijkt backdoor te bevatten

pixabay-hacker-1944688_960_720

In de Oekraïense boekhoudsoftware M.E.Doc is een backdoor aangetroffen die de aanvallers hebben misbruikt om de ransomware NotPetya (ook bekend als ExPetr, PetrWrap en Petya) te verspreiden. Deze backdoor is geïnjecteerd in legitieme modules van de boekhoudsoftware.

Dit meldt ESET. Het beveiligingsbedrijf noemt het ‘zeer onwaarschijnlijk’ dat de aanvallers in staat zijn geweest de backdoor te injecteren in legitieme modules zonder dat zij toegang hadden tot de broncode van M.E.Doc. De backdoor blijkt sinds april 2017 te worden meegestuurd met updates die zijn verspreid door het Oekraïense bedrijf. Het gaat om de volgende updates:

  • 01.175-10.01.176, vrijgegeven op 14 april 2017
  • 01.180-10.01.181, vrijgegeven op 15 mei 2017
  • 01.188-10.01.189, vrijgegeven op 22 juni 2017

Xdata ransomware

ESET wijst erop dat een eerdere uitbraak van de ransomware Xdata slechts drie dagen na het vrijgeven van update 01.180-10.01.181 plaatsvond. Dit terwijl de ransomware Petya vijf dagen na het vrijgeven van 01.188-10.01.189 werd verspreid. Opvallend is dat de backdoor in vier updates die tussen 24 april 2017 en 10 mei 2017 zijn vrijgegeven niet aanwezig is. Ook in zeven updates die tussen 17 mei 2017 en 21 juni 2017 zijn vrijgegeven is de backdoor niet aangetroffen.

Het beveiligingsbedrijf wijst erop dat de update van 15 mei de backdoor module bevat, terwijl deze in de update van 17 mei is verdwenen. ESET vermoedt dat dit zonder medeweten van de cybercriminelen achter Xdata is gebeurd en de plannen van de aanvallers in de war heeft gegooid. Xdata werd namelijk op 18 mei verspreid, terwijl het overgrote deel van de M.E.Doc de update van 17 mei al had geïnstalleerd die de backdoor niet bevat. Dit verklaart volgens het ESET waarschijnlijk de kleine hoeveelheid besmettingen met de ransomware Xdata.

Communicatie via legitieme servers

Ook opvallend is dat de backdoor module niet communiceert met externe servers of Command & Control servers. De module communiceert uitsluitend via reguliere update-controleverzoeken van de M.E.Doc software, die worden verzonden naar de legitieme M.E.Doc server upd.me-doc.com[.]ua. Het enige verschil met een legitiem verzoek is dat de backdoor module de verzamelde informatie meestuurt als cookies.

In een eerdere blogpost meldde ESET al dat er tekenen zijn dat de aanvallers toegang hebben weten te verkrijgen tot de legitieme server van M.E.Doc. De nieuwe bevindingen versterken dit vermoeden. ESET stelt dat de aanvallers waarschijnlijk software op de server hebben geïnstalleerd die onderscheid maakt tussen communicatie van gecompromitteerde klanten van M.E.Doc met de server en communicatie van niet-gecompromitteerde klanten.

Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

NetApp bestrijdt in realtime ransomware

NetApp bestrijdt in realtime ransomware

NetApp biedt nieuwe mogelijkheden waarmee klanten hun data beter kunnen beschermen en herstellen tegen bedreigingen door ransomware. NetApp is één van de eerste die kunstmatige intelligentie (AI) en machine learning (ML) direct in de primaire storage van bedrijven integreert en zo ransomware in real-time bestrijdt. De cyberresiliency-oplossingen v1

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.