DeathStalker APT
DeathStalker és el nom donat a un grup de pirates informàtics d'amenaça persistent avançada (APT) que els investigadors creuen que operen com a mercenaris o ofereixen serveis de pirateig per lloguer. La base d'aquesta anàlisi són les característiques particulars que es mostren en les operacions atribuïdes al grup. A diferència del que es considera el comportament cibercriminal típic, DeathStalker no infecta les seves víctimes amb ransomware i no recull credencials bancàries o de targetes de crèdit/dèbit, senyals clars que els pirates informàtics no busquen guanys financers de les seves víctimes. En canvi, DeathStalker sembla haver-se especialitzat en l'exfiltració de dades d'un nombre molt reduït de víctimes. A part d'algunes excepcions singulars, com l'atac a una entitat diplomàtica, el grup ha perseguit de manera constant empreses privades que operen en el sector financer, com ara consultores, empreses tecnològiques, despatxos d'advocats, etc. Pel que fa a la propagació geogràfica, mitjançant el seguiment del trànsit generat per una de les eines principals de DeathStalker, una amenaça de programari maliciós anomenada Powersing, es van descobrir víctimes de DeathStalker a la Xina, Xipre, Israel, Argentina, Líban, Suïssa, Turquia, Taiwan, el Regne Unit i els Emirats Àrabs Units.
Spear-phishing i solucions de gota morta
Si fem una ullada a la cadena d'atac de DeathStalker APT, es revela que els pirates informàtics ofereixen la seva eina principal mitjançant correus electrònics de pesca de pesca amb fitxers adjunts compromesos. Els fitxers adjunts es fan passar com a documents o arxius de l'Explorador, però, en canvi, porten un fitxer LNK malmès. Quan l'usuari desprevingut els executa, inicia una cadena complicada de diverses etapes. Durant l'etapa inicial, es mostra a l'usuari un document d'engany per intentar emmascarar tota l'activitat que s'està produint en segon pla i generar el mínim de sospita possible. S'estableix un mecanisme de persistència creant una drecera a la carpeta d'inici de Windows que executa un script d'inici de VBE. La càrrega útil real de programari maliciós es deixa caure a la segona etapa de l'atac. Es connecta a un solucionador de gota morta per obtenir l'adreça real del servidor d'ordres i control (C&C, C2). Un cop establerta la comunicació, Powersing només és responsable de dues coses: fer captures de pantalla del sistema, enviar-les immediatament al servidor C2 i esperar que els scripts de Powershell proporcionats pel C2 per a l'execució.
La manera peculiar en què Powersing arriba a la seva adreça C2 és força única. Els pirates informàtics deixen cadenes que contenen les dades inicials de diversos serveis públics com a publicacions, comentaris, ressenyes, perfils d'usuaris, etc. Els investigadors van descobrir aquests missatges a Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress i Imgur. L'ús d'aquests serveis públics tan coneguts gairebé garanteix l'èxit de la comunicació inicial per la facilitat amb què el trànsit es fusiona amb el trànsit que es genera habitualment i per la dificultat que poden trobar les empreses si decideixen posar a la llista negra les plataformes. Tanmateix, hi ha un inconvenient per als pirates informàtics, ja que eliminar els seus rastres és gairebé impossible. Com a resultat, els investigadors van poder determinar que els primers signes d'activitat de Powersing es van originar el 2017.
Connexions entre Powersing i altres famílies de programari maliciós
Powersing posseeix algunes característiques peculiars que no són tan comunes. Així, quan es descobreix que una altra família de programari maliciós té atributs gairebé idèntics, es crea una hipòtesi plausible que o bé estan desenvolupats pel mateix grup de pirates informàtics o que els actors de l'amenaça estan treballant estretament junts, sens dubte. Tanmateix, quan es tracta de Powersing, s'han trobat similituds entre aquest i dues famílies de programari maliciós anomenades Janicab i Evilnum .
Comencem pel fet que els tres es lliuren mitjançant fitxers LNK ocults en fitxers adjunts propagats per correus electrònics de pesca de pesca. És cert que aquesta és una tàctica força comuna, però els tres també obtenen les seves adreces C2 mitjançant solucionadors de gota morta amb expressions regulars i frases codificades. Finalment, hi ha superposicions de codi entre aquestes amenaces de programari maliciós, com ara noms idèntics per a algunes variables i funcions tot i estar escrites en diferents llenguatges de codificació.
