DeathStalker APT

DeathStalker نامی است که به گروهی از هکرها (APT) داده شده است که محققان معتقدند به عنوان مزدور عمل می کنند یا خدمات هک برای استخدام را ارائه می دهند. مبنای این تجزیه و تحلیل، ویژگی های خاصی است که در عملیات نسبت داده شده به گروه نمایش داده می شود. برخلاف آنچه که رفتار معمولی مجرمانه سایبری در نظر گرفته می‌شود، DeathStalker قربانیان خود را با باج‌افزار آلوده نمی‌کند و اعتبارات بانکی یا کارت اعتباری/دبیت را جمع‌آوری نمی‌کند، که نشانه‌های واضحی است که نشان می‌دهد هکرها به دنبال سود مالی از قربانیان خود نیستند. در عوض، به نظر می رسد DeathStalker در استخراج داده ها از مجموعه بسیار محدودی از قربانیان متخصص بوده است. جدا از برخی استثنائات منحصر به فرد، مانند حمله به یک نهاد دیپلماتیک، این گروه به طور مداوم دنبال شرکت های خصوصی فعال در بخش مالی مانند شرکت های مشاوره، شرکت های فناوری، شرکت های حقوقی و غیره رفته است. در مورد گسترش جغرافیایی، با ردیابی ترافیک ایجاد شده توسط یکی از ابزارهای اصلی DeathStalker - یک تهدید بدافزار به نام Powersing، قربانیان DeathStalker در چین، قبرس، اسرائیل، آرژانتین، لبنان، سوئیس، ترکیه، تایوان، بریتانیا و انگلستان کشف شدند. امارات متحده عربی

Spear-Phishing و Dead Drop Resolvers

نگاهی دقیق به زنجیره حمله DeathStalker APT نشان می‌دهد که هکرها ابزار اصلی خود را از طریق ایمیل‌های فیشینگ نیزه‌ای که حاوی پیوست‌های در معرض خطر هستند، تحویل می‌دهند. فایل‌های پیوست شده به عنوان اسناد یا بایگانی‌های اکسپلورر ظاهر می‌شوند، اما در عوض، یک فایل LNK خراب دارند. هنگامی که کاربر ناآگاه آنها را اجرا می کند، یک زنجیره چند مرحله ای پیچیده را راه اندازی می کند. در مرحله اولیه، یک سند فریبنده به کاربر نمایش داده می‌شود تا تمام فعالیت‌هایی را که در پس‌زمینه انجام می‌شود پنهان کند و تا حد امکان کمترین شک را ایجاد کند. یک مکانیسم پایداری با ایجاد یک میانبر در پوشه راه اندازی ویندوز ایجاد می شود که یک اسکریپت راه اندازی VBE را اجرا می کند. بار واقعی بدافزار در مرحله دوم حمله حذف می شود. برای به دست آوردن آدرس سرور واقعی Command-and-Control (C&C, C2) به یک Ded drop Resolver متصل می شود. پس از برقراری ارتباط، Powersing تنها مسئول دو چیز است - گرفتن اسکرین شات از سیستم، ارسال فوری آنها به سرور C2 و منتظر ماندن هر اسکریپت Powershell ارائه شده توسط C2 برای اجرا.

راه عجیبی که در آن Powersing به آدرس C2 خود می رسد کاملاً منحصر به فرد است. هکرها رشته‌هایی حاوی داده‌های اولیه را در سرویس‌های عمومی مختلف مانند پست‌ها، نظرات، نظرات، نمایه‌های کاربر و غیره می‌گذارند. محققان چنین پیام‌هایی را در Google+، Reddit، ShockChan، Tumblr، Twitter، YouTube، WordPress و Imgur کشف کردند. استفاده از چنین خدمات عمومی شناخته شده تقریباً موفقیت ارتباطات اولیه را تضمین می کند، زیرا به راحتی ترافیک با ترافیک ایجاد شده به طور معمول ترکیب می شود و مشکلی که شرکت ها ممکن است در صورت تصمیم به قرار دادن پلتفرم ها در لیست سیاه با آن مواجه شوند. با این حال، یک اشکال برای هکرها وجود دارد، زیرا حذف آثار آنها تقریبا غیرممکن می شود. در نتیجه، محققان توانستند تشخیص دهند که اولین نشانه‌های فعالیت Powersing در سال 2017 آغاز شد.

اتصالات بین Powersing و سایر خانواده‌های بدافزار

قدرت دهی دارای برخی ویژگی های عجیب و غریب است که چندان رایج نیستند. بنابراین وقتی مشخص شد که یک خانواده بدافزار دیگر دارای ویژگی‌های تقریباً یکسانی است، این فرضیه قابل قبول ایجاد می‌کند که یا توسط همان گروه هکر توسعه داده شده‌اند یا قطعاً عوامل تهدید با هم همکاری نزدیک دارند. با این حال، وقتی صحبت از Powersing می شود، شباهت هایی بین آن و دو خانواده بدافزار دیگر به نام های Janicab و Evilnum پیدا شده است .

بیایید با این واقعیت شروع کنیم که هر سه از طریق فایل‌های LNK پنهان در پیوست‌هایی که توسط ایمیل‌های فیشینگ نیزه منتشر می‌شوند، تحویل داده می‌شوند. مسلماً، این یک تاکتیک بسیار رایج است، اما هر سه آدرس C2 خود را از طریق حل‌کننده‌های دراپ مرده با عبارات منظم و جملات کدگذاری شده به دست می‌آورند. در نهایت، همپوشانی کدهایی بین این تهدیدات بدافزار وجود دارد، مانند نام‌های یکسان برای برخی از متغیرها و توابع، علیرغم اینکه به زبان‌های مختلف کدنویسی نوشته شده‌اند.