DeathStalker APT

DeathStalker هو الاسم الذي يطلق على مجموعة من المتسللين Advanced Persistent Threat (APT) التي يعتقد الباحثون أنها تعمل كمرتزقة أو تقدم خدمات اختراق مقابل أجر. أساس هذا التحليل هو الخصائص المعينة المعروضة في العمليات المنسوبة إلى المجموعة. على عكس ما يعتبر سلوكًا نموذجيًا لمجرم الإنترنت ، فإن DeathStalker لا يصيب ضحاياهم ببرامج الفدية ولا يجمع بيانات اعتماد بطاقة الائتمان / الخصم المصرفية ، وهي إشارات واضحة على أن المتسللين لا يسعون لتحقيق مكاسب مالية من ضحاياهم. بدلاً من ذلك ، يبدو أن DeathStalker تخصص في استخراج البيانات من مجموعة ضيقة جدًا من الضحايا. بصرف النظر عن بعض الاستثناءات الفردية ، مثل مهاجمة كيان دبلوماسي ، فإن المجموعة تلاحق باستمرار الشركات الخاصة العاملة في القطاع المالي ، مثل الشركات الاستشارية وشركات التكنولوجيا وشركات المحاماة وما إلى ذلك. بالنسبة للانتشار الجغرافي ، من خلال تتبع حركة المرور الناتجة عن إحدى أدوات DeathStalker الرئيسية - تهديد البرامج الضارة يسمى Powersing ، تم اكتشاف ضحايا DeathStalker في الصين وقبرص وإسرائيل والأرجنتين ولبنان وسويسرا وتركيا وتايوان والمملكة المتحدة و الإمارات العربية المتحدة.

سبير-التصيد ومحللات القطرة الميتة

يكشف إلقاء نظرة فاحصة على سلسلة هجوم DeathStalker APT أن المتسللين يقدمون أداتهم الرئيسية من خلال رسائل التصيد الإلكتروني بالرمح التي تحمل مرفقات مخترقة. الملفات المرفقة تتنكر كمستندات أو أرشيفات Explorer ، ولكنها بدلاً من ذلك تحمل ملف LNK تالف. عندما يقوم المستخدم المطمئن بتنفيذها ، فإنه يبدأ سلسلة معقدة متعددة المراحل. خلال المرحلة الأولية ، يتم عرض مستند شرك للمستخدم في محاولة لإخفاء كل النشاط الجاري في الخلفية وإثارة أقل قدر ممكن من الشك. يتم إنشاء آلية استمرار عن طريق إنشاء اختصار في مجلد بدء تشغيل Windows يقوم بتنفيذ برنامج نصي لبدء تشغيل VBE. يتم إسقاط حمولة البرامج الضارة الفعلية في المرحلة الثانية من الهجوم. إنه يتصل بمحلل إسقاط ميت للحصول على عنوان خادم القيادة والتحكم الحقيقي (C & C ، C2). بمجرد إنشاء الاتصال ، يكون Powersing مسؤولاً عن شيئين فقط - التقاط لقطات شاشة للنظام ، وإرسالها إلى خادم C2 على الفور وانتظار تنفيذ أي نصوص برمجية من Powershell يوفرها C2.

الطريقة الغريبة التي يصل بها Powersing إلى عنوان C2 الخاص به هي طريقة فريدة تمامًا. يترك المتسللون سلاسل تحتوي على البيانات الأولية حول الخدمات العامة المختلفة مثل المنشورات والتعليقات والمراجعات وملفات تعريف المستخدمين ، إلخ. اكتشف الباحثون مثل هذه الرسائل على Google+ و Reddit و ShockChan و Tumblr و Twitter و YouTube و WordPress و Imgur. يكاد استخدام مثل هذه الخدمات العامة المعروفة يضمن نجاح الاتصال الأولي نظرًا للسهولة التي تمتزج بها حركة المرور مع حركة المرور المتولدة بشكل طبيعي والصعوبة التي قد تواجهها الشركات إذا قررت إدراج الأنظمة الأساسية في القائمة السوداء. ومع ذلك ، هناك عيب بالنسبة للمتسللين ، حيث أن إزالة آثارهم تصبح شبه مستحيلة. ونتيجة لذلك ، تمكن الباحثون من تحديد أن العلامات الأولى لنشاط القوة قد نشأت في عام 2017.

الروابط بين السلطات وعائلات البرامج الضارة الأخرى

تمتلك الصلاحيات بعض الخصائص الغريبة التي ليست شائعة. لذلك ، عندما يتم العثور على عائلة برامج ضارة أخرى لها سمات متطابقة تقريبًا ، فإنها تخلق فرضية معقولة إما أنها تم تطويرها من قبل نفس مجموعة المتسللين أو أن الجهات الفاعلة المهددة تعمل بشكل وثيق معًا ، بالتأكيد. ومع ذلك ، عندما يتعلق الأمر بـ Powersing ، فقد تم العثور على أوجه تشابه بينها وبين عائلتين أخريين من البرامج الضارة تسمى Janicab و Evilnum .

لنبدأ بحقيقة أن الثلاثة يتم تسليمهم من خلال ملفات LNK المخفية في مرفقات يتم نشرها عن طريق رسائل البريد الإلكتروني التي تستخدم في التصيد الاحتيالي. من المسلم به أن هذا تكتيك شائع جدًا ، لكن الثلاثة يحصلون أيضًا على عناوين C2 الخاصة بهم من خلال أدوات حل الإسقاط مع التعبيرات العادية والجمل الثابتة. أخيرًا ، هناك تداخلات في التعليمات البرمجية بين تهديدات البرامج الضارة هذه ، مثل الأسماء المتطابقة لبعض المتغيرات والوظائف على الرغم من كتابتها بلغات ترميز مختلفة.