DeathStalker APT
DeathStalker نامی است که به گروهی از هکرها (APT) داده شده است که محققان معتقدند به عنوان مزدور عمل می کنند یا خدمات هک برای استخدام را ارائه می دهند. مبنای این تجزیه و تحلیل، ویژگی های خاصی است که در عملیات نسبت داده شده به گروه نمایش داده می شود. برخلاف آنچه که رفتار معمولی مجرمانه سایبری در نظر گرفته میشود، DeathStalker قربانیان خود را با باجافزار آلوده نمیکند و اعتبارات بانکی یا کارت اعتباری/دبیت را جمعآوری نمیکند، که نشانههای واضحی است که نشان میدهد هکرها به دنبال سود مالی از قربانیان خود نیستند. در عوض، به نظر می رسد DeathStalker در استخراج داده ها از مجموعه بسیار محدودی از قربانیان متخصص بوده است. جدا از برخی استثنائات منحصر به فرد، مانند حمله به یک نهاد دیپلماتیک، این گروه به طور مداوم دنبال شرکت های خصوصی فعال در بخش مالی مانند شرکت های مشاوره، شرکت های فناوری، شرکت های حقوقی و غیره رفته است. در مورد گسترش جغرافیایی، با ردیابی ترافیک ایجاد شده توسط یکی از ابزارهای اصلی DeathStalker - یک تهدید بدافزار به نام Powersing، قربانیان DeathStalker در چین، قبرس، اسرائیل، آرژانتین، لبنان، سوئیس، ترکیه، تایوان، بریتانیا و انگلستان کشف شدند. امارات متحده عربی
Spear-Phishing و Dead Drop Resolvers
نگاهی دقیق به زنجیره حمله DeathStalker APT نشان میدهد که هکرها ابزار اصلی خود را از طریق ایمیلهای فیشینگ نیزهای که حاوی پیوستهای در معرض خطر هستند، تحویل میدهند. فایلهای پیوست شده به عنوان اسناد یا بایگانیهای اکسپلورر ظاهر میشوند، اما در عوض، یک فایل LNK خراب دارند. هنگامی که کاربر ناآگاه آنها را اجرا می کند، یک زنجیره چند مرحله ای پیچیده را راه اندازی می کند. در مرحله اولیه، یک سند فریبنده به کاربر نمایش داده میشود تا تمام فعالیتهایی را که در پسزمینه انجام میشود پنهان کند و تا حد امکان کمترین شک را ایجاد کند. یک مکانیسم پایداری با ایجاد یک میانبر در پوشه راه اندازی ویندوز ایجاد می شود که یک اسکریپت راه اندازی VBE را اجرا می کند. بار واقعی بدافزار در مرحله دوم حمله حذف می شود. برای به دست آوردن آدرس سرور واقعی Command-and-Control (C&C, C2) به یک Ded drop Resolver متصل می شود. پس از برقراری ارتباط، Powersing تنها مسئول دو چیز است - گرفتن اسکرین شات از سیستم، ارسال فوری آنها به سرور C2 و منتظر ماندن هر اسکریپت Powershell ارائه شده توسط C2 برای اجرا.
راه عجیبی که در آن Powersing به آدرس C2 خود می رسد کاملاً منحصر به فرد است. هکرها رشتههایی حاوی دادههای اولیه را در سرویسهای عمومی مختلف مانند پستها، نظرات، نظرات، نمایههای کاربر و غیره میگذارند. محققان چنین پیامهایی را در Google+، Reddit، ShockChan، Tumblr، Twitter، YouTube، WordPress و Imgur کشف کردند. استفاده از چنین خدمات عمومی شناخته شده تقریباً موفقیت ارتباطات اولیه را تضمین می کند، زیرا به راحتی ترافیک با ترافیک ایجاد شده به طور معمول ترکیب می شود و مشکلی که شرکت ها ممکن است در صورت تصمیم به قرار دادن پلتفرم ها در لیست سیاه با آن مواجه شوند. با این حال، یک اشکال برای هکرها وجود دارد، زیرا حذف آثار آنها تقریبا غیرممکن می شود. در نتیجه، محققان توانستند تشخیص دهند که اولین نشانههای فعالیت Powersing در سال 2017 آغاز شد.
اتصالات بین Powersing و سایر خانوادههای بدافزار
قدرت دهی دارای برخی ویژگی های عجیب و غریب است که چندان رایج نیستند. بنابراین وقتی مشخص شد که یک خانواده بدافزار دیگر دارای ویژگیهای تقریباً یکسانی است، این فرضیه قابل قبول ایجاد میکند که یا توسط همان گروه هکر توسعه داده شدهاند یا قطعاً عوامل تهدید با هم همکاری نزدیک دارند. با این حال، وقتی صحبت از Powersing می شود، شباهت هایی بین آن و دو خانواده بدافزار دیگر به نام های Janicab و Evilnum پیدا شده است .
بیایید با این واقعیت شروع کنیم که هر سه از طریق فایلهای LNK پنهان در پیوستهایی که توسط ایمیلهای فیشینگ نیزه منتشر میشوند، تحویل داده میشوند. مسلماً، این یک تاکتیک بسیار رایج است، اما هر سه آدرس C2 خود را از طریق حلکنندههای دراپ مرده با عبارات منظم و جملات کدگذاری شده به دست میآورند. در نهایت، همپوشانی کدهایی بین این تهدیدات بدافزار وجود دارد، مانند نامهای یکسان برای برخی از متغیرها و توابع، علیرغم اینکه به زبانهای مختلف کدنویسی نوشته شدهاند.