DeathStalker APT
DeathStalker je název pro skupinu hackerů APT (Advanced Persistent Threat), o nichž se výzkumníci domnívají, že operují jako žoldáci nebo nabízejí hack-for-hire služby. Základem pro tuto analýzu jsou konkrétní charakteristiky zobrazené v operacích přiřazených skupině. Na rozdíl od toho, co je považováno za typické chování kyberzločinců, DeathStalker neinfikuje své oběti ransomwarem a neshromažďuje přihlašovací údaje k bankovním nebo kreditním/debetním kartám, což je jasným znamením, že hackeři neusilují o finanční zisk od svých obětí. Místo toho se zdá, že DeathStalker se specializoval na exfiltraci dat z velmi úzkého pole obětí. Kromě ojedinělých výjimek, jako je útok na diplomatický subjekt, skupina důsledně šla po soukromých společnostech působících ve finančním sektoru, jako jsou poradenské firmy, technologické společnosti, advokátní kanceláře atd. Pokud jde o geografické rozšíření, sledováním provozu generovaného jedním z hlavních nástrojů DeathStalker – malwarovou hrozbou zvanou Powersing, byly oběti DeathStalker objeveny v Číně, na Kypru, v Izraeli, Argentině, Libanonu, Švýcarsku, Turecku, Tchaj-wanu, Spojeném království a Spojené arabské emiráty.
Spear-Phishing a Dead Drop Resolvery
Bližší pohled na řetězec útoků DeathStalker APT ukazuje, že hackeři poskytují svůj hlavní nástroj prostřednictvím spear-phishingových e-mailů obsahujících kompromitované přílohy. Přiložené soubory se maskují jako dokumenty nebo archivy Průzkumníka, ale místo toho obsahují poškozený soubor LNK. Když je nic netušící uživatel spustí, spustí to spletitý vícestupňový řetězec. Během počáteční fáze je uživateli zobrazen návnadový dokument ve snaze zamaskovat veškerou aktivitu probíhající na pozadí a vzbudit co nejmenší podezření. Mechanismus perzistence je vytvořen vytvořením zástupce ve složce Po spuštění systému Windows, který spustí spouštěcí skript VBE. Skutečná zátěž malwaru je vypuštěna ve druhé fázi útoku. Připojí se k překladači mrtvých kapek, aby získal skutečnou adresu serveru Command-and-Control (C&C, C2). Jakmile je komunikace navázána, Powersing zodpovídá pouze za dvě věci – pořídí snímky obrazovky systému, okamžitě je pošle na server C2 a počká na provedení všech skriptů Powershell poskytnutých C2.
Zvláštní způsob, jakým Powersing dorazí na svou C2 adresu, je zcela unikátní. Hackeři zanechávají řetězce obsahující počáteční data v různých veřejných službách, jako jsou příspěvky, komentáře, recenze, uživatelské profily atd. Výzkumníci takové zprávy objevili na Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress a Imgur. Využití takto známých veřejných služeb téměř zaručuje úspěch prvotní komunikace vzhledem k jednoduchosti, s jakou se provoz prolíná s běžně generovaným provozem, a obtížím, s nimiž se společnosti mohou setkat, pokud se rozhodnou zařadit platformy na černou listinu. Pro hackery však existuje nevýhoda, protože odstranění jejich stop je téměř nemožné. V důsledku toho byli vědci schopni určit, že první známky aktivity Powersing pocházejí již v roce 2017.
Spojení mezi Powersingem a dalšími rodinami malwaru
Powersing má některé zvláštní vlastnosti, které nejsou tak běžné. Když se tedy zjistí, že jiná rodina malwaru má téměř identické atributy, vytvoří se věrohodná hypotéza, že je buď vyvinula stejná skupina hackerů, nebo aktéři hrozeb jistě úzce spolupracují. Nicméně, pokud jde o Powersing, byly nalezeny podobnosti mezi ním a dvěma dalšími malwarovými rodinami s názvem Janicab a Evilnum .
Začněme tím, že všechny tři jsou doručovány prostřednictvím souborů LNK skrytých v přílohách šířených spear-phishingovými e-maily. Je pravda, že je to docela běžná taktika, ale všichni tři také získávají své adresy C2 pomocí analyzátorů mrtvých kapek s regulárními výrazy a pevně zakódovanými větami. A konečně se mezi těmito malwarovými hrozbami překrývají kódy, jako jsou shodné názvy některých proměnných a funkcí, přestože jsou napsány v různých kódovacích jazycích.
