Nieuwe TortoiseShell Groep hackt 11 IT-leveranciers om hun klanten te bereiken

Cybercrime Envicom todayseptember 18, 2019 7

Background
share close

Een nieuw ontdekte groep bedreigingen die beveiliging onderzoekers TortoiseShell noemen, brengt IT leveranciers in gevaar wat aanvallen op de toeleveringsketen lijken te zijn die bedoeld zijn om het netwerk van specifieke klanten te bereiken.

Het vroegste teken van activiteit van de acteur is gevolgd tot juli 2018, maar toch het potentieel is dat het langer actief is geweest. De meest recente keer dat de groep bedreigingen actief was, is twee maanden geleden, in juli.

Groep gebruikt aangepaste malware en openbare hulp programma

Beveiligingsonderzoekers van Symantec hebben 11 organisaties geïdentificeerd die zijn getroffen door TortoiseShell. De meeste doelen zijn gevestigd in Saoedi-Arabië en minimaal 2 gevallen zijn er voldoende aanwijzingen om te concluderen dat de aanvaller de rechten had van een domeinbeheerder, die toegang hebben tot alle systemen op het netwerk.

Met twee van de slachtoffers heeft TortoiseShell honderden hosts geïnfecteerd stochastisch, omdat ze de machines moesten vinden die interessant waren, zeggen de onderzoekers.

“Dit is een ongewoon groot aantal computers dat kan worden gecompromitteerd bij een gerichte aanval”, zegt Symantec in een vandaag gepubliceerd rapport.

De onderzoekers zeggen dat de groep voor hun activiteiten afhankelijk is van zowel aangepaste als kant-en-klare malware. Een bedreiging die TrotoiseShell gebruikt, is de Syskit-trojan, een aangepaste achterdeur die op 21 augustus is ontdekt.

De malware verzendt naar zijn commando and control (C2) server systeem gerelateerde gegevens van de gecompromitteerde host. Details zijn (IP-adres, versie van het besturing systeem, computernaam, MAC-adres, actieve apps en netwerk connectiviteit.

Het kan ook opdrachten van de C2 uitvoeren die worden gebruikt om andere malware te downloaden en PowerShell te starten om een ​​bestand uit te pakken of opdrachten uit te voeren in de opdracht prompt console.

Extra tools die Symantec ziet, zijn openbaar beschikbaar en tellen twee info-stealers en een PowerShell script:

 • Infostealer / Sha.exe / Sha432.exe
 • Infostealer / stereoversioncontrol.exe
 • get-logon-history.ps1

De twee malware die informatie ophaalt, kan details verzamelen over de machine waarop ze zijn geland en “Firefox gegevens van alle gebruikers van de machine”.

Deze drie soorten malware zijn niet het volledige arsenaal van TortoiseShell, omdat de acteur vertrouwt op andere tools voor het dumpen van gegevens en op PowerShell gebaseerde backdoors.

Mogelijke overlappende ops

Het is onduidelijk hoe de tegenstander de doelen infecteert, maar onderzoekers denken dat de aanvaller minstens 1 keer toegang heeft gekregen door een webserver in gevaar te brengen.

Deze veronderstelling is gebaseerd op een webshell die bij 1 slachtoffer is ontdekt en waarin wordt uitgelegd hoe malware op het netwerk is uitgevoerd.

“Op minstens 2 slachtoffer netwerken heeft Tortoiseshell zijn hulpprogramma voor het verzamelen van informatie ingevoerd in de map Netlogon op een domein controller. Dit leidt tot het automatisch verzamelen van informatie wanneer een client computer zich aanmeldt bij het domein.” 

– Symantec –

Systemen van 1 TortoiseShell slachtoffer waren eerder gecompromitteerd met Poison Frog, een op PowerShell gebaseerde achterdeur die in het verleden werd geassocieerd met activiteiten van een andere geavanceerde dreiging, OilRig (aka APT34, HelixKitten) verbonden aan de Iraanse regering.

Gifkikker werd in april 2019 naar het publiek gelekt, voordat het slachtoffer was gecompromitteerd en een maand geul TortoiseShell Tools was ingezet. Dit leidt tot de veronderstelling dat er twee verschillende operaties waren, waarbij de OilRig-actor niet noodzakelijkerwijs betrokken was.

Symantec zegt dat IT-providers een aantrekkelijk doelwit zijn, omdat ze ‘toegang op hoog niveau tot de computers van hun cliënt’ bieden, een voordeel waarmee kwaadaardige updates kunnen worden verzonden en externe toegang tot hen kan worden verkregen.

“Dit biedt toegang tot de netwerken van de slachtoffers zonder de netwerken zelf te hoeven compromitteren, wat wellicht niet potentieel is als de bedoelde slachtoffers een sterke beveiliging infrastructuur hebben, en vermindert ook het risico dat de aanval wordt ontdekt.” 

Een ander voordeel van het aanvallen van een externe serviceprovider is dat het ware doel moeilijker te identificeren is, daarom ook het echte doel van de campagne.

Dit geldt ook voor TortoiseShell, omdat onderzoekers geen details hebben over de klantprofielen van de bedoelde IT-providers.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *