Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Spionnen gebruiken Microsoft Outlook als effectieve backdoor

woensdag 22 augustus 2018, 16:04 door Redactie, 4 reacties

Een groep cyberspionnen die bij het Duitse ministerie van Buitenlandse Zaken wist in te breken heeft Microsoft Outlook als effectieve backdoor gebruikt voor het bedienen van besmette computers en het stelen van vertrouwelijke gegevens. Dat meldt anti-virusbedrijf ESET vandaag in een analyse (pdf).

De spionagegroep staat bekend als Turla, maar wordt ook Snake of Uroburos genoemd. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zero day-lekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen.

Volgens ESET wist de groep in nagenoeg heel 2017 gegevens te stelen van computers van het Duitse ministerie van Buitenlandse Zaken. De aanval, die de Duitse inlichtingendiensten eind 2017 ontdekten, werd in maart 2018 openbaar gemaakt. De Microsoft Outlook-backdoor die de groep gebruikt is ook tegen de ministeries van Buitenlandse Zaken van twee andere Europese landen ingezet, alsmede het netwerk van een niet nader genoemd defensiebedrijf.

De backdoor die de groep gebruikt werkte eerst via het e-mailprogramma The Bat, dat veel in Oost-Europa wordt gebruikt, aldus ESET-onderzoeker Tomas Foltyn. Nieuwere versies maken echter gebruik van Microsoft Outlook. Hiervoor worden geen kwetsbaarheden in Microsofts e-mailprogramma gebruikt. In plaats daarvan werkt de backdoor via de Messaging Application Programming Interface (MAPI) van Outlook om de mailboxen van het slachtoffer te benaderen.

De aanvallers moeten een systeem eerst zien te infecteren voordat ze de malware kunnen installeren die van Microsoft Outlook een backdoor maakt. De backdoor wordt niet alleen gebruikt om besmette machines mee te besturen, maar ook om gegevens te stelen. De bediening vindt plaats via pdf-bestanden met opdrachten die via e-mail naar de besmette computer worden verstuurd.

Wanneer het slachtoffer een e-mail ontvangt of verstuurt, genereert de backdoor een logbestand met metadata van het bericht, waaronder de afzender, onderwerp en namen van eventuele bijlagen. Geregeld worden deze logbestanden gebundeld, samen met andere data, en verstuurd via een e-mailbericht waaraan een speciaal gemaakt pdf-document is toegevoegd.

In het geval van inkomende berichten controleert de backdoor op de aanwezigheid van een pdf-bestand dat opdrachten van de aanvallers bevat. Daarbij accepteert de backdoor opdrachten van iedereen die ze in een pdf-document kan encoderen. Mochten de hardcoded e-mailadressen van de aanvallers zijn geblokkeerd, dan kunnen ze op deze manier weer de controle over de backdoor krijgen door een e-mail vanaf een willekeurig e-mailadres te sturen.

De e-mails van de aanvallers worden daarnaast niet in de inbox weergegeven en ook notificaties van deze e-mailberichten worden geblokkeerd. De onderzoekers van ESET zeggen niet bekend te zijn met andere spionagegroepen die van een backdoor gebruikmaken die volledig via e-mails met pdf-bijlagen wordt bediend. Volgens Foltyn is de backdoor zo bestand tegen 'takedowns' door autoriteiten, dat die bijna met een rootkit is te vergelijken.

Image

Ernstig Apache Struts-lek laat aanvallers systemen overnemen
Rechter VS: data slimme meter beschermd door grondwet
Reacties (4)
22-08-2018, 16:29 door karma4
"Based on our research and telemetry, we identified this backdoor as having been in the wild since at least 2013. " (eset)
Beveiliging afscherming en monitoring moet je niet aan het endpoint ophangen. Een server based benadering op centrale punten zet je in om ongewoon gebruikt te herkennen en daarop te acteren.
22-08-2018, 17:07 door Anoniem
Door karma4: "Based on our research and telemetry, we identified this backdoor as having been in the wild since at least 2013. " (eset)
Beveiliging afscherming en monitoring moet je niet aan het endpoint ophangen. Een server based benadering op centrale punten zet je in om ongewoon gebruikt te herkennen en daarop te acteren.

Of gewoon allebei.
22-08-2018, 20:23 door karma4
Door Anoniem: ...
Of gewoon allebei.
Eens bete beide.
Ik ga er vanuit dat alles wat aan de boze buitenwereld hangt daar ook een keer mee onderuit gaat.
De boze binnenwereld kun je inperken maar echt betrouwbaar moet je niet aannemen. Geïsoleerde doelgerichte monitoring ofwel toezicht en handhaving hoort bij security.
25-08-2018, 12:31 door Anoniem
zie hier hoe een blinde vlek in menig organisatie zich kan manifesteren. maar we hebben toch betaald? inderdaad security is layers en de layers moeten ervan uit gaan dat door menselijk en technisch falen de andere layers gaten bevatten!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Banken moeten slachtoffers van phishing altijd compenseren:

26 reacties
Aantal stemmen: 1033
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

51 reacties
Lees meer
Juridische vraag: Moet de overheid over hard bewijs beschikken om providers apparatuur van bepaalde leveranciers te laten vervangen?
11-12-2019 door Arnoud Engelfriet

Ik las op diverse plekken dat Nederland een wet heeft aangenomen dat providers verplicht kunnen worden om Huawei-apparatuur uit ...

6 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

49 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter