DeathStalker APT

DeathStalker on nimi Advanced Persistent Threat (APT) häkkerite rühmale, kes teadlaste arvates tegutsevad palgasõduritena või pakuvad häkkimisteenuseid. Selle analüüsi aluseks on rühmale omistatud toimingutes kuvatavad konkreetsed omadused. Erinevalt küberkurjategijate tüüpilisest käitumisest ei nakata DeathStalker oma ohvreid lunavaraga ega kogu panga- ega krediit-/deebetkaartide mandaate, mis on selged märgid, et häkkerid ei taotle oma ohvritelt rahalist kasu. Selle asemel näib, et DeathStalker on spetsialiseerunud väga kitsalt ohvrite hulgast andmete väljapressimisele. Kui välja arvata mõned üksikud erandid, nagu diplomaatilise üksuse ründamine, on rühmitus järjekindlalt jahtinud finantssektoris tegutsevatele eraettevõtetele, nagu konsultatsioonifirmad, tehnoloogiaettevõtted, advokaadibürood jne. Mis puudutab geograafilist levikut, siis DeathStalkeri ühe peamise tööriista – Powersingi-nimelise pahavaraohu – tekitatud liikluse jälgimisel avastati DeathStalkeri ohvreid Hiinas, Küprosel, Iisraelis, Argentinas, Liibanonis, Šveitsis, Türgis, Taiwanis, Ühendkuningriigis ja Araabia Ühendemiraadid.

Andmepüügi ja surnud tilkade lahendajad

DeathStalker APT ründeahelat tähelepanelikult vaadates selgub, et häkkerid edastavad oma peamise tööriista ohustatud manuseid sisaldavate andmepüügimeilide kaudu. Manustatud failid on maskeeritud kui Exploreri dokumendid või arhiivid, kuid need sisaldavad rikutud LNK-faili. Kui pahaaimamatu kasutaja need ellu viib, käivitab see keerdunud mitmeastmelise ahela. Algstaadiumis kuvatakse kasutajale peibutusdokument, mis püüab varjata kogu taustal toimuvat tegevust ja tekitada võimalikult vähe kahtlusi. Püsivusmehhanism luuakse, luues Windowsi käivituskausta otsetee, mis käivitab VBE käivitusskripti. Tegelik pahavara kasulik koormus langeb ründe teises etapis. See loob ühenduse surnud languse lahendajaga, et saada tegelik käsu-ja juhtimise (C&C, C2) serveri aadress. Kui side on loodud, vastutab Powersing ainult kahe asja eest – teeb süsteemist ekraanipilte, saadab need kohe C2 serverisse ja oota, kuni C2 poolt pakutavad Powershelli skriptid käivituvad.

Omapärane viis, kuidas Powersing oma C2-aadressile jõuab, on üsna ainulaadne. Häkkerid jätavad stringid, mis sisaldavad algandmeid erinevate avalike teenuste kohta nagu postitused, kommentaarid, arvustused, kasutajaprofiilid jne. Sellised sõnumid avastasid teadlased Google+, Reddit, ShockChani, Tumblri, Twitteri, YouTube'i, WordPressi ja Imguri kaudu. Selliste tuntud avalike teenuste kasutamine tagab peaaegu esmase suhtluse edu, kuna liiklus sulandub tavapäraselt genereeritud liiklusega ja ettevõtetel võib tekkida raskusi, kui nad otsustavad platvormid musta nimekirja lisada. Häkkerite jaoks on aga puudus, kuna nende jälgede eemaldamine muutub peaaegu võimatuks. Selle tulemusena suutsid teadlased kindlaks teha, et esimesed märgid Powersingi tegevusest tekkisid juba 2017. aastal.

Ühendused Powersingi ja teiste pahavaraperekondade vahel

Võimsusel on mõned omapärased omadused, mis pole nii tavalised. Nii et kui leitakse, et mõnel muul pahavaraperekonnal on peaaegu identsed atribuudid, loob see usutava hüpoteesi, et kas need on välja töötanud sama häkkerirühm või ohustajad teevad kindlasti tihedat koostööd. Kui aga rääkida Powersingist, siis on leitud sarnasusi selle ja kahe teise pahavaraperekonna vahel nimega Janicab ja Evilnum .

Alustame sellest, et kõik kolm edastatakse LNK-failide kaudu, mis on peidetud spear-phishing-meilide kaudu levitatavatesse manustesse. Tuleb tunnistada, et see on üsna levinud taktika, kuid kõik kolm saavad oma C2-aadressid ka regulaaravaldiste ja kõvakodeeritud lausete kaudu. Lõpuks on nende pahavaraohtude vahel koodide kattumine, näiteks mõnede muutujate ja funktsioonide nimed on identsed, hoolimata sellest, et need on kirjutatud erinevates kodeerimiskeeltes.

Trendikas

Enim vaadatud

Laadimine...