Threat Database Advanced Persistent Threat (APT) డెత్‌స్టాకర్ APT

డెత్‌స్టాకర్ APT

డెత్‌స్టాకర్ అనేది అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) హ్యాకర్‌ల సమూహానికి ఇవ్వబడిన పేరు, పరిశోధకులు కిరాయి సైనికులుగా పనిచేస్తున్నారని లేదా హ్యాక్-ఫర్-హైర్ సేవలను అందిస్తున్నారని నమ్ముతారు. ఈ విశ్లేషణకు ఆధారం సమూహానికి ఆపాదించబడిన కార్యకలాపాలలో ప్రదర్శించబడే ప్రత్యేక లక్షణాలు. సాధారణ సైబర్‌క్రిమినల్ ప్రవర్తన వలె కాకుండా, DeathStalker వారి బాధితులకు ransomware సోకదు మరియు బ్యాంకింగ్ లేదా క్రెడిట్/డెబిట్ కార్డ్ ఆధారాలను సేకరించదు, హ్యాకర్‌లు వారి బాధితుల నుండి ఆర్థిక లాభం పొందడం లేదని స్పష్టమైన సంకేతాలు. బదులుగా, డెత్‌స్టాకర్ బాధితుల యొక్క చాలా ఇరుకైన శ్రేణి నుండి డేటాను వెలికితీయడంలో ప్రత్యేకత కలిగి ఉన్నట్లు కనిపిస్తోంది. దౌత్యపరమైన సంస్థపై దాడి చేయడం వంటి కొన్ని ఏకవచన మినహాయింపులు కాకుండా, సమూహం కన్సల్టెన్సీ సంస్థలు, సాంకేతిక సంస్థలు, న్యాయ సంస్థలు మొదలైన ఆర్థిక రంగంలో కార్యకలాపాలు నిర్వహిస్తున్న ప్రైవేట్ కంపెనీలను స్థిరంగా అనుసరించింది. భౌగోళిక వ్యాప్తి విషయానికొస్తే, డెత్‌స్టాకర్ యొక్క ప్రధాన సాధనాల్లో ఒకటైన ట్రాఫిక్‌ను ట్రాక్ చేయడం ద్వారా - పవర్సింగ్ అనే మాల్వేర్ ముప్పు, డెత్‌స్టాకర్ బాధితులు చైనా, సైప్రస్, ఇజ్రాయెల్, అర్జెంటీనా, లెబనాన్, స్విట్జర్లాండ్, టర్కీ, తైవాన్, యునైటెడ్ కింగ్‌డమ్ మరియు యునైటెడ్ అరబ్ ఎమిరేట్స్.

స్పియర్-ఫిషింగ్ మరియు డెడ్ డ్రాప్ రిసోల్వర్స్

డెత్‌స్టాకర్ APT యొక్క దాడి గొలుసును నిశితంగా పరిశీలిస్తే, హ్యాకర్లు రాజీపడిన జోడింపులను మోసే స్పియర్-ఫిషింగ్ ఇమెయిల్‌ల ద్వారా తమ ప్రధాన సాధనాన్ని బట్వాడా చేస్తారని వెల్లడిస్తుంది. జోడించిన ఫైల్‌లు ఎక్స్‌ప్లోరర్ డాక్యుమెంట్‌లు లేదా ఆర్కైవ్‌ల వలె మాస్క్వెరేడ్ చేయబడ్డాయి, బదులుగా, పాడైన LNK ఫైల్‌ను కలిగి ఉంటాయి. సందేహించని వినియోగదారు వాటిని అమలు చేసినప్పుడు, అది మెలికలు తిరిగిన బహుళ-దశల గొలుసును ప్రారంభిస్తుంది. ప్రారంభ దశలో, బ్యాక్‌గ్రౌండ్‌లో జరుగుతున్న అన్ని కార్యకలాపాలను మాస్క్ చేయడానికి మరియు వీలైనంత తక్కువ అనుమానాన్ని రేకెత్తించే ప్రయత్నంలో వినియోగదారుకు డికోయ్ డాక్యుమెంట్ ప్రదర్శించబడుతుంది. VBE స్టార్టప్ స్క్రిప్ట్‌ని అమలు చేసే విండోస్ స్టార్టప్ ఫోల్డర్‌లో సత్వరమార్గాన్ని సృష్టించడం ద్వారా నిలకడ మెకానిజం ఏర్పాటు చేయబడింది. దాడి యొక్క రెండవ దశలో అసలు మాల్వేర్ పేలోడ్ పడిపోయింది. ఇది నిజమైన కమాండ్-అండ్-కంట్రోల్ (C&C, C2) సర్వర్ చిరునామాను పొందడానికి డెడ్ డ్రాప్ రిసల్వర్‌కి కనెక్ట్ చేస్తుంది. కమ్యూనికేషన్ స్థాపించబడిన తర్వాత, Powersing కేవలం రెండు విషయాలకు మాత్రమే బాధ్యత వహిస్తుంది - సిస్టమ్ యొక్క స్క్రీన్‌షాట్‌లను తీసుకోండి, వాటిని వెంటనే C2 సర్వర్‌కు పంపండి మరియు అమలు కోసం C2 అందించిన పవర్‌షెల్ స్క్రిప్ట్‌ల కోసం వేచి ఉండండి.

పవర్‌సింగ్ దాని C2 చిరునామాకు వచ్చే విచిత్రమైన మార్గం చాలా ప్రత్యేకమైనది. హ్యాకర్లు పోస్ట్‌లు, వ్యాఖ్యలు, సమీక్షలు, వినియోగదారు ప్రొఫైల్‌లు మొదలైన వివిధ పబ్లిక్ సర్వీసెస్‌లోని ప్రారంభ డేటాను కలిగి ఉన్న స్ట్రింగ్‌లను వదిలివేస్తారు. పరిశోధకులు Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress మరియు Imgurలో ఇటువంటి సందేశాలను కనుగొన్నారు. సాధారణంగా జనరేట్ అయ్యే ట్రాఫిక్‌తో సులభంగా ట్రాఫిక్ మిళితం కావడం మరియు ప్లాట్‌ఫారమ్‌లను బ్లాక్‌లిస్ట్ చేయాలని నిర్ణయించుకుంటే కంపెనీలు ఎదుర్కొనే ఇబ్బందుల కారణంగా అటువంటి ప్రసిద్ధ పబ్లిక్ సర్వీస్‌ల ఉపయోగం ప్రారంభ కమ్యూనికేషన్ విజయానికి దాదాపు హామీ ఇస్తుంది. హ్యాకర్లకు ఒక లోపం ఉంది, అయినప్పటికీ, వారి జాడలను తొలగించడం దాదాపు అసాధ్యం. ఫలితంగా, పవర్‌సింగ్ కార్యాచరణ యొక్క మొదటి సంకేతాలు 2017లో ఉద్భవించాయని పరిశోధకులు గుర్తించగలిగారు.

పవర్సింగ్ మరియు ఇతర మాల్వేర్ కుటుంబాల మధ్య కనెక్షన్లు

పవర్సింగ్ సాధారణం కాని కొన్ని విచిత్రమైన లక్షణాలను కలిగి ఉంది. కాబట్టి మరొక మాల్వేర్ కుటుంబం దాదాపు ఒకే విధమైన లక్షణాలను కలిగి ఉన్నట్లు కనుగొనబడినప్పుడు, వారు ఒకే హ్యాకర్ సమూహం ద్వారా అభివృద్ధి చేయబడి ఉంటారని లేదా ముప్పు నటులు ఖచ్చితంగా కలిసి పనిచేస్తున్నారని ఇది ఆమోదయోగ్యమైన పరికల్పనను సృష్టిస్తుంది. అయితే, Powersing విషయానికి వస్తే, దానికి మరియు Janicab మరియు Evilnum అనే మరో రెండు మాల్వేర్ కుటుంబాల మధ్య సారూప్యతలు కనుగొనబడ్డాయి.

స్పియర్-ఫిషింగ్ ఇమెయిల్‌ల ద్వారా ప్రచారం చేయబడిన అటాచ్‌మెంట్‌లలో దాగి ఉన్న LNK ఫైల్‌ల ద్వారా ఈ మూడింటినీ డెలివరీ చేయబడ్డాయనే వాస్తవంతో ప్రారంభిద్దాం. అంగీకరించాలి, ఇది చాలా సాధారణమైన వ్యూహం, కానీ ముగ్గురూ కూడా వారి C2 చిరునామాలను సాధారణ వ్యక్తీకరణలు మరియు హార్డ్‌కోడ్ వాక్యాలతో డెడ్ డ్రాప్ పరిష్కారాల ద్వారా పొందుతారు. చివరగా, ఈ మాల్వేర్ బెదిరింపుల మధ్య కోడ్ ఓవర్‌ల్యాప్‌లు ఉన్నాయి, వివిధ కోడింగ్ భాషలలో వ్రాయబడినప్పటికీ కొన్ని వేరియబుల్స్ మరియు ఫంక్షన్‌లకు ఒకేలాంటి పేర్లు ఉంటాయి.

ట్రెండింగ్‌లో ఉంది

అత్యంత వీక్షించబడిన

లోడ్...