Hackersgroep richt zich met nieuwe malware op IT-bedrijven, overheden en telecomproviders

Een hackersgroep maakt gebruik van een nieuw type trojans, om telecomproviders en bedrijven die zich bezighouden met informatietechnologie, evenals overheidsorganisaties, aan te vallen. De malware heeft de naam Seedworm gekregen en is minimaal sinds 2017 actief.

Seedworm lijkt er vooral op gericht te zijn om organisaties in het Midden-Oosten te infecteren. Daar vinden in elk geval de meeste infecties met Seedworm plaats. Een aantal Europese en Noord-Amerikaanse organisaties is echter ook getroffen. De afgelopen maanden is de activiteit van de groep flink toegenomen.

Tientallen slachtoffers

Dat melden onderzoekers van Symantec. Het bedrijf stelt dat de hackers, die zichzelf MuddyWater noemen, sinds afgelopen september gegevens van meer dan 130 slachtoffers in 30 bedrijven gestolen hebben. De aanvallen zijn er vooral op gericht om wachtwoorden van internetaccounts te stelen, maar nemen ook interne communicatiegegevens en andere data mee.

De nieuwste aanval van Seedworm was bijvoorbeeld gericht op de ambassade van een “olieproducerend land” in Brazilië. De aanval kon gedetecteerd worden, doordat de hackers “voorkeur geven aan snelheid en wendbaarheid, boven operationele veiligheid. Zo konden de onderzoekers dus ook vrij eenvoudig zien wat er precies gedaan is door de hackers.

Continu verbeterd

Sinds MuddyWater actief is, heeft Seedworm gebruik gemaakt van de achterdeur Powermud, die de hackers zelf ontwikkeld hebben. Powermud wordt continu van updates voorzien om te voorkomen dat het gedetecteerd wordt. Er wordt verder gebruik gemaakt van de techniek spear-phishing.

Dat is de voornaamste manier waarop de malware geplant wordt. Zodra deze geïnstalleerd is op een systeem, worden er enkele tools gestart die erop gericht zijn om wachtwoorden die gebruikers in hun webbrowser en mailaccounts hebben opgeslagen te stelen. Seedworm maakt verder gebruik van open-source tools als LaZagne en Crackmapexec, om verregaande toegang te krijgen tot het Windows-systeem.

Snel en niet veilig

Opvallend is de constatering dat de ontwikkelaars van Seedworm gebruik maken van GitHub om hun scripts op te slaan. Dat bevestigt het vermoeden dat MuddyWater het liefst snel handelt en zich minder zorgen maakt om de veiligheid van hun werkzaamheden. “Maar er zit niets in de scripts dat er direct op wijst dat het gaat om scripts die gebruikt worden voor malware”, aldus Jonathan Wrolstad van Symantec tegenover ZDNet.