Russische hackers richten zich op Oekraïense organisaties met behulp van heimelijke tactieken om buiten het land te leven

Cyberbeveiliging
Russische hackers richten zich op Oekraïense organisaties met behulp van heimelijke tactieken om buiten het land te leven

Organisaties in Oekraïne zijn het doelwit geweest van bedreigingsactoren van Russische afkomst met als doel gevoelige gegevens over te hevelen en aanhoudende toegang tot gecompromitteerde netwerken te behouden.

Volgens een nieuw rapport van het Symantec en Carbon Black Threat Hunter Team was de activiteit twee maanden lang gericht op een grote zakelijke dienstverlener en een week lang op een lokale overheidsinstantie in het land.

Bij de aanvallen werd vooral gebruik gemaakt van ‘living-off-the-land’ (LotL)-tactieken en tools voor tweeërlei gebruik, in combinatie met minimale malware, om de digitale voetafdruk te verkleinen en gedurende langere tijd onopgemerkt te blijven.

“De aanvallers hebben toegang gekregen tot de zakelijke dienstverlening door webshells op openbare servers in te zetten, hoogstwaarschijnlijk door misbruik te maken van een of meer niet-gepatchte kwetsbaarheden”, aldus de cyberbeveiligingsteams van Broadcom in een rapport gedeeld met The Hacker News.

Een van de webshells die bij de aanval werd gebruikt, was Localolive, dat eerder door Microsoft was gemarkeerd als gebruikt door een subgroep van de aan Rusland gelinkte Sandworm-crew als onderdeel van een meerjarige campagne met de codenaam BadPilot. LocalOlive is ontworpen om de levering van ladingen in de volgende fase, zoals beitel, plink en rsockstun, te vergemakkelijken. Het wordt in ieder geval sinds eind 2021 gebruikt.

De eerste tekenen van kwaadwillige activiteiten gericht op de zakelijke dienstverlening dateren van 27 juni 2025, toen de aanvallers gebruik maakten van de voet aan de grond om een ​​webshell te laten vallen en deze te gebruiken om verkenningen uit te voeren. Er is ook vastgesteld dat de bedreigingsactoren PowerShell-opdrachten uitvoeren om de downloads van de machine uit te sluiten van Microsoft Defender Antivirus-scans, en een geplande taak hebben opgezet om elke 30 minuten een geheugendump uit te voeren.

De komende weken voerden de aanvallers een verscheidenheid aan acties uit, waaronder:

  • Sla een kopie van de registercomponent op in een bestand met de naam 1.log
  • Meer webshells laten vallen
  • De webshell gebruiken om alle bestanden in de gebruikersmap op te sommen
  • Een opdracht uitvoeren om alle actieve processen weer te geven die beginnen met “kee”, waarschijnlijk met als doel de KeePass-wachtwoordopslagkluis te targeten
  • Een lijst van alle actieve gebruikerssessies op een tweede machine
  • Voer uitvoerbare bestanden uit met de naam “service.exe” en “cloud.exe” in de map Downloads
  • Verkenningsopdrachten uitvoeren op een derde machine en een geheugendump uitvoeren met behulp van het Microsoft Windows Resource Leak Diagnostic-hulpprogramma (RDRLeakDiag)
  • Als u het register wijzigt, kunnen RDP-verbindingen inkomende RDP-verbindingen toestaan
  • Een PowerShell-opdracht uitvoeren om informatie op te halen over de Windows-configuratie op een vierde machine
  • RDPclip uitvoeren om toegang te krijgen tot het klembord in externe bureaubladverbindingen
  • OpenSSH installeren om externe toegang tot de computer te vergemakkelijken
  • Een PowerShell-opdracht uitvoeren om TCP-verkeer op poort 22 voor de OpenSSH-server toe te staan
  • Een geplande taak maken om elke 30 minuten een onbekende PowerShell-backdoor (link.ps1) uit te voeren met behulp van een domeinaccount
  • Een onbekend Python-script uitvoeren
  • Implementatie van een legitieme MikroTik-routerbeheertoepassing (“winbox64.exe”) in de map Downloads

Interessant is dat de aanwezigheid van “winbox64.exe” in april 2024 ook werd gedocumenteerd door CERT-UA in verband met een Sandworm-campagne gericht op leveranciers van energie, water en verwarming in Oekraïne.

Symantec en Carbon Black zeiden dat ze geen enkel bewijs konden vinden in de inbraken om het in verband te brengen met Sandworm, maar zeiden dat het “wel van Russische oorsprong leek te zijn.” Het cyberbeveiligingsbedrijf onthulde ook dat de aanvallen werden gekenmerkt door de inzet van verschillende PowerShell-backdoors en verdachte uitvoerbare bestanden die waarschijnlijk malware zijn. Geen van deze artefacten is echter voor analyse verkregen.

“Hoewel de aanvallers tijdens de inbraak een beperkte hoeveelheid malware gebruikten, betrof een groot deel van de kwaadaardige activiteit legitieme tools, ofwel Living-off-the-Land of door de aanvallers geïntroduceerde software voor tweeërlei gebruik”, aldus Symantec en Carbon Black.

“De aanvallers toonden een diepgaande kennis van Windows-native tools en lieten zien hoe een ervaren aanvaller een aanval kan doorzetten en gevoelige informatie kan stelen, zoals inloggegevens, terwijl hij een minimale voetafdruk achterlaat op het beoogde netwerk.”

De onthulling komt op het moment dat Gen Threat Labs de exploitatie door Gamaredon van een inmiddels gepatchte beveiligingsfout in WinRAR (CVE-2025-8088, CVSS-score: 8,8) gedetailleerd beschrijft om Oekraïense overheidsinstanties aan te vallen.

“Aanvallers misbruiken #CVE-2025-8088 (WinRAR path traversal) om RAR-archieven af ​​te leveren die stilletjes HTA-malware in de Startup-map plaatsen. Er is geen gebruikersinteractie nodig behalve het openen van de goedaardige PDF daarin”, aldus het bedrijf in een bericht op X. “Deze lokmiddelen zijn gemaakt om slachtoffers te misleiden om bewapende archieven te openen, waarmee een patroon van agressieve targeting wordt voortgezet dat we in eerdere campagnes zagen.”

De bevindingen volgen ook op een rapport van Recorded Future, waarin werd vastgesteld dat het Russische cybercriminele ecosysteem actief wordt gevormd door internationale wetshandhavingscampagnes zoals Operatie Endgame, waardoor de banden van de Russische regering met e-criminaliteitsgroepen verschuiven van passieve tolerantie naar actief beheer.

Verdere analyse van gelekte chats heeft aan het licht gebracht dat senior figuren binnen deze dreigingsgroepen vaak relaties onderhouden met Russische inlichtingendiensten, gegevens verstrekken, taken uitvoeren of omkoping en politieke connecties gebruiken om straffeloosheid te bewerkstelligen. Tegelijkertijd decentraliseren cybercriminele teams hun activiteiten om westerse en binnenlandse surveillance te omzeilen.

Hoewel het al lang bekend is dat Russische cybercriminelen vrijelijk kunnen opereren zolang ze zich niet richten op bedrijven of entiteiten die in de regio actief zijn, lijkt het Kremlin nu een genuanceerder aanpak te hanteren waarbij ze waar nodig talent rekruteren of coöpteren, een oogje dichtknijpen wanneer aanvallen aansluiten bij hun belangen, en selectief wetten handhaven wanneer de bedreigingsactoren ‘politiek lastig of extern gênant’ worden.

In die zin is het ‘duistere verbond’ een combinatie van verschillende dingen: een commerciële onderneming, een instrument voor beïnvloeding en informatieverwerving, en ook een verplichting wanneer het de binnenlandse stabiliteit bedreigt of vanwege westerse druk.

“De Russische cybercriminele underground barst onder de dubbele druk van staatscontrole en intern wantrouwen, terwijl eigen forummonitoring en het geratel van ransomware-partners een toenemende paranoia onder operators laten zien”, aldus het bedrijf in zijn derde deel van het Dark Covenant-rapport.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

F-Droid hekelt Google voor het misleiden van gebruikers over de app-verificatie van Android

OpenAI streeft ernaar om tegen 2028 een legitieme AI-onderzoeker op te bouwen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]