DeathStalker APT

DeathStalker er navnet på en gruppe hackere med avanceret vedvarende trussel (APT), som forskerne mener at fungere som lejesoldater eller tilbyde hack-for-hire-tjenester. Grundlaget for denne analyse er de særlige karakteristika, der vises i operationer, der tilskrives gruppen. I modsætning til hvad der betragtes som den typiske cyberkriminalitetsadfærd inficerer DeathStalker ikke deres ofre med ransomware og indsamler ikke bank- eller kredit- / betalingskortlegitimationsoplysninger, klare tegn på, at hackerne ikke søger økonomisk gevinst fra deres ofre. I stedet ser DeathStalker ud til at have specialiseret sig i exfiltrering af data fra et meget snævert udsnit af ofre. Bortset fra nogle unikke undtagelser, såsom angreb på en diplomatisk enhed, har koncernen konsekvent fulgt private virksomheder, der opererer i den finansielle sektor, såsom konsulentfirmaer, teknologivirksomheder, advokatfirmaer osv. Med hensyn til den geografiske spredning ved at spore trafikken genereret af et af DeathStalker's vigtigste værktøjer - en malware-trussel kaldet Powersing, blev ofre for DeathStalker opdaget i Kina, Cypern, Israel, Argentina, Libanon, Schweiz, Tyrkiet, Taiwan, Det Forenede Kongerige og De Forenede Arabiske Emirater.

Spear-Phishing og Dead Drop Resolvers

At se nærmere på angrebskæden af DeathStalker APT afslører, at hackerne leverer deres hovedværktøj via spear-phishing-e-mails med kompromitterede vedhæftede filer. De vedhæftede filer maskereres som Explorer-dokumenter eller arkiver, men bærer i stedet en beskadiget LNK-fil. Når den intetanende bruger udfører dem, initierer den en indviklet flertrins kæde. I den indledende fase vises et lokkedokument for brugeren i et forsøg på at maskere al den aktivitet, der foregår i baggrunden og rejse så lidt mistanke som muligt. En persistensmekanisme oprettes ved at oprette en genvej i Windows Startup-mappe, der udfører et VBE-opstarts script. Den faktiske malware-nyttelast droppes i anden fase af angrebet. Det opretter forbindelse til en dead drop-resolver for at få den rigtige Command-and-Control (C&C, C2) serveradresse. Når kommunikationen er etableret, er Powersing kun ansvarlig for to ting - tag skærmbilleder af systemet, send dem straks til C2-serveren og vent på Powershell-scripts, der leveres af C2 til udførelse.

Den ejendommelige måde, hvorpå Powersing ankommer til sin C2-adresse er ret unik. Hackerne efterlader strenge, der indeholder de oprindelige data om forskellige offentlige tjenester som indlæg, kommentarer, anmeldelser, brugerprofiler osv. Forskerne opdagede sådanne beskeder på Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress og Imgur. Brugen af sådanne velkendte offentlige tjenester garanterer næsten succesen med den oprindelige kommunikation på grund af den lethed, hvormed trafikken blander sig med den normalt genererede trafik, og de vanskeligheder, som virksomhederne kan støde på, hvis de beslutter at sortliste platformene. Der er dog en ulempe for hackerne, da fjernelse af deres spor bliver næsten umuligt. Som et resultat var forskere i stand til at bestemme, at de første tegn på magtaktivitet stammer fra 2017.

Forbindelser mellem strømforsyning og andre malware-familier

At have magt besidder nogle ejendommelige egenskaber, der ikke er så almindelige. Så når en anden malware-familie viser sig at have næsten identiske attributter, skaber det en sandsynlig hypotese om, at de enten er udviklet af den samme hacker-gruppe, eller at trusselaktørerne helt sikkert arbejder tæt sammen. Men når det kommer til Powersing, er der fundet ligheder mellem det og to andre malware-familier kaldet Janicab og Evilnum.

Lad os starte med det faktum, at alle tre leveres gennem LNK-filer, der er skjult i vedhæftede filer, der formeres af spear-phishing-e-mails. Ganske vist er dette en ret almindelig taktik, men alle tre får også deres C2-adresser gennem dead drop resolvers med regelmæssige udtryk og hardkodede sætninger. Endelig er der kodeoverlappinger mellem disse malware-trusler, såsom identiske navne på nogle variabler og funktioner på trods af at de er skrevet på forskellige kodningssprog.