WithSecuren tutkijat yhdistivät Isossa-Britanniassa, Yhdysvalloissa ja Intiassa äskettäin tehdyt DarkGate-hyökkäykset uhkatoimijoihin, joiden tiedetään varastavan tietoja Meta Business -tilien kaappaamiseksi.
Helsinki – 20.10.2023: WithSecuren (aiemmin F-Secure yritystietoturva) tutkijat ovat seuranneet DarkGate-haittaohjelmaa hyödyntäviä hyökkäyksiä ja havainneet niiden olevan yhteydessä Vietnamista käsin operoivaan aktiiviseen kyberrikollisjoukkoon.
DarkGate on etäyhteydellä toimiva troijalainen (Remote Access Trojan, RAT), jota on käytetty hyökkäyksissä ainakin vuodesta 2018 lähtien ja jonka kyberrikolliset voivat nykyään hankkia haittaohjelma palveluna (Malware-as-a-Service, MaaS) -mallin kautta. Sillä on monipuolinen käyttäjäkunta ja lukuisia eri kyvykkyyksiä. Sitä on havaittu käytettävän tietojen ja kryptovaluutan varastamiseen sekä kiristysohjelmakampanjoissa.
WithSecuren tutkijat aloittivat DarkGaten tutkimisen havaittuaan useita brittiläisiin, yhdysvaltalaisiin ja intialaisiin organisaatioihin kohdistettuja hyökkäysyrityksiä.
Houkutintiedostojen, teemojen, hyökkäysten kohteiden, haittaohjelman levittämistapojen ja muiden ei-teknisten indikaattoreiden perusteella tutkijat pystyivät yhdistämään havaitut hyökkäysyritykset samoihin uhkatoimijoihin, jotka käyttävät Ducktail-nimistä infostealer-haittaohjelmaa. WithSecuren tutkijat ovat jäljittäneet Ducktailia noin viimeisen puolentoista vuoden ajan.
”Tutkituilla DarkGate-hyökkäyksillä on selviä tunnuspiirteitä, joiden ansiosta onnistuimme löytämään yhteyden näiden hyökkäysten ja muiden sellaisten hyökkäysten välillä, joissa olemme havainneet käytettävän erilaisia infostealer- ja muita haittaohjelmia, kuten Ducktailia. Havaintojemme perusteella on erittäin todennäköistä, että yksi ja sama uhkatoimija on useiden seuraamiemme Meta Business -tileihin kohdistuneiden hyökkäyskampanjoiden takana”, sanoo WithSecuren tutkija Stephen Robinson.
Muita haittaohjelmia, joilla tutkijoiden mukaan on yhteys samoihin uhkatoimijoihin, ovat Ducktail, Lobshot ja Redline Stealer.
Rikollisryhmän eri kampanjoissa käyttämät houkuttimet ja haitalliset tiedostot sisältävät seuraavanlaista tunnistettavaa metadataa:
- LNK-tiedostojen luomiseen käytetyn aseman tunniste (Drive ID)
- PDF-tiedostot, jotka sisältävät Canva-suunnittelutyökalun käyttäjätietoja
- MSI-tiedostojen metadata.
Robinsonin mukaan eri uhkatoimijoiden ostettavissa olevien kyberrikospalveluiden yleistyminen on johtanut tilanteeseen, jossa hyökkäyksiltä puolustautuvat tahot eivät pysty enää tunnistamaan hyökkääjiä heidän käyttämiensä työkalujen perusteella.
”DarkGate on ollut saatavilla jo pitkään, ja tämän Vietnamissa toimivan ryhmän lisäksi monet muutkin ryhmät käyttävät sitä erilaisiin tarkoituksiin. Toisaalta uhkatoimijat voivat käyttää yhdessä kampanjassa monia eri työkaluja, jolloin niiden toiminnan todellista laajuutta ei välttämättä voida selvittää vain haittaohjelmiin pohjautuvassa analyysissa.”
Tutkimus on saatavilla kokonaisuudessaan englanniksi osoitteessa https://labs.withsecure.com/publications/darkgate-malware-campaign.
Median yhteyshenkilö
Inari Anttila
+358438240090
WithSecure™ lyhyesti
WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.
WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.