DeathStalker APT
DeathStalker е името, дадено на група хакери за напреднали постоянни заплахи (APT), за които изследователите смятат, че работят като наемници или предлагат услуги за хакване за наемане. Основата за този анализ са специфичните характеристики, показани в операциите, приписани на групата. За разлика от това, което се счита за типично киберпрестъпно поведение, DeathStalker не заразява жертвите си с ransomware и не събира идентификационни данни за банкови или кредитни/дебитни карти, ясни признаци, че хакерите не търсят финансова печалба от своите жертви. Вместо това изглежда, че DeathStalker се е специализирал в ексфилтрацията на данни от много тесен кръг от жертви. Освен някои отделни изключения, като например нападение на дипломатическо лице, групата последователно преследва частни компании, работещи във финансовия сектор, като консултантски фирми, технологични компании, адвокатски кантори и др. Що се отнася до географското разпространение, чрез проследяване на трафика, генериран от един от основните инструменти на DeathStalker - заплаха от зловреден софтуер, наречен Powersing, жертвите на DeathStalker бяха открити в Китай, Кипър, Израел, Аржентина, Ливан, Швейцария, Турция, Тайван, Обединеното кралство и Обединените арабски емирства.
Spear-phishing и Dead Drop Resolvers
Разглеждането отблизо на веригата за атака на DeathStalker APT разкрива, че хакерите доставят основния си инструмент чрез фишинг имейли, носещи компрометирани прикачени файлове. Прикачените файлове са маскирани като документи или архиви на Explorer, но вместо това носят повреден LNK файл. Когато нищо неподозиращият потребител ги изпълни, той инициира заплетена многоетапна верига. По време на началния етап на потребителя се показва документ за примамка в опит да маскира цялата дейност, която се случва във фонов режим и да предизвика възможно най-малко подозрение. Механизмът за постоянство се създава чрез създаване на пряк път в папката за стартиране на Windows, който изпълнява скрипт за стартиране на VBE. Действителното полезно натоварване на зловреден софтуер се отстранява във втория етап на атаката. Свързва се с преобразувател, за да получи истинския адрес на сървъра за командване и управление (C&C, C2). След като комуникацията е установена, Powersing отговаря само за две неща – да прави екранни снимки на системата, да ги изпраща незабавно на сървъра C2 и да изчаква всички Powershell скриптове, предоставени от C2 за изпълнение.
Необичайният начин, по който Powersing пристига на своя C2 адрес, е доста уникален. Хакерите оставят низове, съдържащи първоначалните данни за различни обществени услуги като публикации, коментари, ревюта, потребителски профили и др. Изследователите откриха такива съобщения в Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress и Imgur. Използването на такива добре познати обществени услуги почти гарантира успеха на първоначалната комуникация поради лекотата, с която трафикът се смесва с нормално генерирания трафик и трудностите, които компаниите могат да срещнат, ако решат да поставят платформите в черен списък. За хакерите обаче има недостатък, тъй като премахването на техните следи става почти невъзможно. В резултат на това изследователите успяха да установят, че първите признаци на дейността на Powersing възникват през 2017 г.
Връзки между Powersing и други семейства злонамерен софтуер
Powersing притежава някои особени характеристики, които не са толкова често срещани. Така че, когато се установи, че друго семейство злонамерен софтуер има почти идентични атрибути, това създава правдоподобна хипотеза, че или са разработени от една и съща хакерска група, или със сигурност участниците в заплахата работят в тясно сътрудничество. Въпреки това, когато става въпрос за Powersing, са открити прилики между него и две други семейства зловреден софтуер, наречени Janicab и Evilnum .
Нека започнем с факта, че и трите се доставят чрез LNK файлове, скрити в прикачени файлове, разпространявани от фишинг имейли. Разбира се, това е доста често срещана тактика, но и трите също получават своите C2 адреси чрез преобразуващи устройства с регулярни изрази и твърдо кодирани изречения. И накрая, има припокриване на код между тези заплахи за злонамерен софтуер, като например идентични имена за някои променливи и функции, въпреки че са написани на различни езици за кодиране.
