Άδειες χρήσης πολλών συσκευών (εκπτώσεις όγκου)
Threat Database Advanced Persistent Threat (APT) DeathStalker APT

DeathStalker APT

Μέχρι το GoldSparrow το Advanced Persistent Threat (APT)
Μετάφραση σε:
Ελληνικά

Το DeathStalker είναι το όνομα που δόθηκε σε μια ομάδα hackers Advanced Persistent Threat (APT) που οι ερευνητές πιστεύουν ότι λειτουργούν ως μισθοφόροι ή προσφέρουν υπηρεσίες hack-for-hire. Η βάση για αυτήν την ανάλυση είναι τα ιδιαίτερα χαρακτηριστικά που εμφανίζονται στις πράξεις που αποδίδονται στην ομάδα. Σε αντίθεση με αυτό που θεωρείται η τυπική κυβερνοεγκληματική συμπεριφορά, το DeathStalker δεν μολύνει τα θύματά του με ransomware και δεν συλλέγει διαπιστευτήρια τραπεζικών ή πιστωτικών/χρεωστικών καρτών, σαφείς ενδείξεις ότι οι χάκερ δεν επιδιώκουν οικονομικό όφελος από τα θύματά τους. Αντίθετα, ο DeathStalker φαίνεται να έχει ειδικευτεί στην εξαγωγή δεδομένων από μια πολύ στενή σειρά θυμάτων. Εκτός από ορισμένες μοναδικές εξαιρέσεις, όπως η επίθεση σε διπλωματική οντότητα, ο όμιλος κυνηγάει με συνέπεια ιδιωτικές εταιρείες που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, όπως εταιρείες συμβούλων, εταιρείες τεχνολογίας, δικηγορικά γραφεία κ.λπ. Όσον αφορά τη γεωγραφική εξάπλωση, παρακολουθώντας την κίνηση που δημιουργείται από ένα από τα κύρια εργαλεία του DeathStalker - μια απειλή κακόβουλου λογισμικού που ονομάζεται Powersing, ανακαλύφθηκαν θύματα του DeathStalker σε Κίνα, Κύπρο, Ισραήλ, Αργεντινή, Λίβανο, Ελβετία, Τουρκία, Ταϊβάν, Ηνωμένο Βασίλειο και τα Ηνωμένα Αραβικά Εμιράτα.

Spear-phishing και Dead Drop Resolvers

Ρίχνοντας μια προσεκτική ματιά στην αλυσίδα επιθέσεων του DeathStalker APT αποκαλύπτεται ότι οι χάκερ παραδίδουν το κύριο εργαλείο τους μέσω emails spear-phishing που φέρουν παραβιασμένα συνημμένα. Τα συνημμένα αρχεία είναι μεταμφιεσμένα ως έγγραφα ή αρχεία του Explorer αλλά, αντ' αυτού, φέρουν ένα κατεστραμμένο αρχείο LNK. Όταν ο ανυποψίαστος χρήστης τις εκτελεί, ξεκινά μια σύνθετη αλυσίδα πολλαπλών σταδίων. Κατά τη διάρκεια του αρχικού σταδίου, ένα έγγραφο δόλωμα εμφανίζεται στον χρήστη σε μια προσπάθεια να συγκαλύψει όλη τη δραστηριότητα που συμβαίνει στο παρασκήνιο και να προκαλέσει όσο το δυνατόν λιγότερες υποψίες. Ένας μηχανισμός επιμονής δημιουργείται δημιουργώντας μια συντόμευση στον φάκελο εκκίνησης των Windows που εκτελεί ένα σενάριο εκκίνησης VBE. Το πραγματικό ωφέλιμο φορτίο κακόβουλου λογισμικού απορρίπτεται στο δεύτερο στάδιο της επίθεσης. Συνδέεται σε έναν αναλυτή νεκρών σταγόνων για να αποκτήσει την πραγματική διεύθυνση διακομιστή Command-and-Control (C&C, C2). Μόλις δημιουργηθεί η επικοινωνία, το Powersing είναι υπεύθυνο μόνο για δύο πράγματα - τραβήξτε στιγμιότυπα οθόνης του συστήματος, στείλτε τα αμέσως στον διακομιστή C2 και περιμένετε να εκτελεστούν τυχόν σενάρια Powershell που παρέχονται από το C2.

Ο περίεργος τρόπος με τον οποίο το Powersing φτάνει στη διεύθυνση C2 του είναι αρκετά μοναδικός. Οι χάκερ αφήνουν συμβολοσειρές που περιέχουν τα αρχικά δεδομένα σε διάφορες δημόσιες υπηρεσίες όπως αναρτήσεις, σχόλια, κριτικές, προφίλ χρηστών κ.λπ. Οι ερευνητές ανακάλυψαν τέτοια μηνύματα στο Google+, το Reddit, το ShockChan, το Tumblr, το Twitter, το YouTube, το WordPress και το Imgur. Η χρήση τέτοιων γνωστών δημόσιων υπηρεσιών σχεδόν εγγυάται την επιτυχία της αρχικής επικοινωνίας λόγω της ευκολίας με την οποία η κίνηση αναμειγνύεται με την κίνηση που δημιουργείται συνήθως και της δυσκολίας που μπορεί να αντιμετωπίσουν οι εταιρείες εάν αποφασίσουν να βάλουν τις πλατφόρμες στη μαύρη λίστα. Υπάρχει ένα μειονέκτημα για τους χάκερ, ωστόσο, καθώς η αφαίρεση των ιχνών τους γίνεται σχεδόν αδύνατη. Ως αποτέλεσμα, οι ερευνητές μπόρεσαν να προσδιορίσουν ότι τα πρώτα σημάδια της δραστηριότητας Powersing εμφανίστηκαν το 2017.

Συνδέσεις μεταξύ Powersing και άλλων οικογενειών κακόβουλου λογισμικού

Το Powersing έχει κάποια περίεργα χαρακτηριστικά που δεν είναι τόσο κοινά. Έτσι, όταν διαπιστωθεί ότι μια άλλη οικογένεια κακόβουλου λογισμικού έχει σχεδόν πανομοιότυπα χαρακτηριστικά, δημιουργείται μια εύλογη υπόθεση ότι είτε έχουν αναπτυχθεί από την ίδια ομάδα χάκερ είτε οι φορείς απειλών συνεργάζονται στενά, σίγουρα. Ωστόσο, όσον αφορά το Powersing, έχουν βρεθεί ομοιότητες μεταξύ αυτού και δύο άλλων οικογενειών κακόβουλου λογισμικού που ονομάζονται Janicab και Evilnum .

Ας ξεκινήσουμε με το γεγονός ότι και τα τρία παραδίδονται μέσω αρχείων LNK κρυμμένα σε συνημμένα που διαδίδονται από μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing). Ομολογουμένως, αυτή είναι μια αρκετά κοινή τακτική, αλλά και οι τρεις λαμβάνουν τις διευθύνσεις C2 τους μέσω αναλυτών νεκρών σταγόνων με κανονικές εκφράσεις και σκληρά κωδικοποιημένες προτάσεις. Τέλος, υπάρχουν επικαλύψεις κώδικα μεταξύ αυτών των απειλών κακόβουλου λογισμικού, όπως πανομοιότυπα ονόματα για ορισμένες μεταβλητές και συναρτήσεις, παρόλο που είναι γραμμένες σε διαφορετικές γλώσσες κωδικοποίησης.

Τάσεις

Απάτη ηλεκτρονικού ταχυδρομείου «YouPorn».

Spam
Μετά από ενδελεχή εξέταση των μηνυμάτων ηλεκτρονικού ταχυδρομείου «YouPorn», ειδικοί στον τομέα της κυβερνοασφάλειας επιβεβαίωσαν τον δόλιο χαρακτήρα τους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούν μέρος διαφόρων παραλλαγών ανεπιθύμητης αλληλογραφίας, όλα μοιάζουν με τακτικές εκτροπής. Το κοινό νήμα μεταξύ αυτών των παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι ένας...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
14,963
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...