Kaspersky Lab en Seculert leggen 'Madi' cyberspionage campagne onder de loep

Onderzoekers van Kaspersky Lab maken de resultaten bekend van een onderzoek met betrekking tot 'Madi', dat in samenwerking met Seculert, een Advanced Threat Detection bedrijf, uitgevoerd is. Deze actieve cyberspionage campagne richt zich op slachtoffers in het Midden-Oosten. Het oorspronkelijk door Seculert ontdekte Madi betreft een infiltratiecampagne van computernetwerken. Hierbij wordt een kwaadaardig Trojaans paard gebruikt dat via social engineering programma’s wordt afgeleverd bij zorgvuldig geselecteerde doelwitten.

Kaspersky Lab en Seculert slaagden er samen in om de Command & Control (C&C) servers van Madi binnen te dringen en zo de campagne te volgen. Kaspersky Lab en Seculert wisten meer dan 800 slachtoffers te identificeren in Iran, Israël en andere landen over de hele wereld die de afgelopen acht maanden verbinding hadden gemaakt met de C&C-servers. Uit de statistieken blijkt dat de slachtoffers voornamelijk mensen zijn uit het bedrijfsleven die werken voor Iraanse en Israëlische kritieke infrastructuurprojecten, Israëlische financiële instellingen, technische studenten uit het Midden-Oosten en diverse overheidsinstellingen in het Midden-Oosten.

Onderzoek van de malware toonde een grote hoeveelheid religieuze en politieke documenten en beelden aan, die verzonden werden tijdens de initiële infectie om de aandacht van de ontvanger af te leiden.
"Hoewel de malware en de infrastructuur erg eenvoudig is in vergelijking met andere, soortgelijke projecten, bleken de Madi-aanvallers in staat een aanhoudende surveillance-operatie uit te voeren tegen high-profile slachtoffers", aldus Nicolas Brulez, Senior Malware Researcher bij Kaspersky Lab. "Misschien hielp de amateuristische en rudimentaire aanpak de operatie juist onder de radar te blijven en ontdekking te vermijden."
"Interessant is dat we tijdens onze gezamenlijke analyse veel Perzische tekenreeksen aantroffen in de malware en de C&C-tools, wat ongebruikelijk is in kwaadaardige code. De aanvallers spraken deze taal ongetwijfeld vloeiend", zegt Aviv Raff, Chief Technology Officer bij Seculert.

Madi’s informatie-stelende Trojan stelt externe aanvallers in staat gevoelige bestanden te stelen van geïnfecteerde Windows-computers. Ook houdt het toezicht op gevoelige communicatie zoals e-mail en instant messaging, neemt audio op, houdt een log bij van toetsaanslagen en maakt screenshots van activiteiten van zijn slachtoffers. Data-analyse suggereert dat meerdere gigabytes aan gegevens zijn geüpload vanaf de computers van slachtoffers.
Veel voorkomende toepassingen en websites die werden bespioneerd zijn onder andere accounts van Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ en Facebook. Ook werd surveillance uitgevoerd op geïntegreerde ERP/CRM-systemen, zakelijke contracten en financiële management systemen.

Kaspersky Lab’s Anti-Virus systeem detecteert de malware-varianten van Madi, evenals de daarmee samenhangende droppers en modules, geclassificeerd als Trojan.Win32.Madi.
Om het volledige onderzoek na te lezen door Kaspersky Lab’s experts klik op de site van Securelist.
Om Seculert's onderzoek te lezen over de Madi-campagne klik op de site van Seculert Blog.