DeathStalker APT
DeathStalker on nimi Advanced Persistent Threat (APT) -hakkeriryhmälle, jonka tutkijat uskovat toimivan palkkasotureina tai tarjoavan hakkerointipalveluita. Tämän analyysin perustana ovat ryhmälle kohdistetuissa toimissa näkyvät erityisominaisuudet. Toisin kuin mitä pidetään tyypillisenä kyberrikollisena, DeathStalker ei tartu uhreihinsa lunnasohjelmilla eikä kerää pankki- tai luotto-/pankkikorttitietoja, jotka ovat selviä merkkejä siitä, että hakkerit eivät tavoittele taloudellista hyötyä uhreiltaan. Sen sijaan DeathStalker näyttää erikoistuneen tietojen suodattamiseen erittäin kapealta uhrijoukolta. Joitakin yksittäisiä poikkeuksia, kuten diplomaattista yksikköä vastaan hyökkäämistä, lukuun ottamatta ryhmä on seurannut johdonmukaisesti rahoitusalalla toimivia yksityisiä yrityksiä, kuten konsulttiyrityksiä, teknologiayrityksiä, asianajotoimistoja jne. Mitä tulee maantieteelliseen leviämiseen, DeathStalkerin uhreja löydettiin Kiinassa, Kyproksella, Israelissa, Argentiinassa, Libanonissa, Sveitsissä, Turkissa, Taiwanissa, Isossa-Britanniassa ja seuraamalla yhden DeathStalkerin päätyökaluista – Powersing-nimisen haittaohjelmauhan – tuottamaa liikennettä. Yhdistyneet arabiemiirikunnat.
Spear-phishing- ja Dead Drop -ratkaisut
DeathStalker APT:n hyökkäysketjun tarkka tarkastelu paljastaa, että hakkerit toimittavat päätyökalunsa tietokalasteluviestien kautta, jotka sisältävät vaarantuneita liitteitä. Liitetiedostot naamioituvat Explorer-asiakirjoiksi tai arkistoksi, mutta sisältävät sen sijaan vioittunutta LNK-tiedostoa. Kun hyväuskoinen käyttäjä suorittaa ne, se käynnistää monivaiheisen ketjun. Alkuvaiheessa käyttäjälle näytetään houkutusasiakirja, joka yrittää peittää kaiken taustalla tapahtuvan toiminnan ja herättää mahdollisimman vähän epäilyksiä. Pysyvyysmekanismi luodaan luomalla Windowsin käynnistyskansioon pikakuvake, joka suorittaa VBE-käynnistyskomentosarjan. Varsinainen haittaohjelmien hyötykuorma pudotetaan hyökkäyksen toisessa vaiheessa. Se muodostaa yhteyden dead drop -ratkaisuun saadakseen todellisen Command-and-Control (C&C, C2) -palvelimen osoitteen. Kun yhteys on muodostettu, Powersing on vastuussa vain kahdesta asiasta - ottaa järjestelmästä kuvakaappauksia, lähettää ne välittömästi C2-palvelimelle ja odottaa C2:n toimittamien Powershell-komentosarjojen suorittamista.
Erikoinen tapa, jolla Powersing saapuu C2-osoitteeseen, on melko ainutlaatuinen. Hakkerit jättävät alkutietoja sisältäviä merkkijonoja erilaisista julkisista palveluista, kuten viesteistä, kommenteista, arvosteluista, käyttäjäprofiileista jne. Tutkijat löysivät tällaisia viestejä Google+:sta, Redditistä, ShockChanista, Tumblrista, Twitteristä, YouTubesta, WordPressistä ja Imgurista. Tällaisten tunnettujen julkisten palveluiden käyttö lähes takaa alkuviestinnän onnistumisen johtuen siitä, että liikenne sulautuu helposti normaalisti syntyvään liikenteeseen ja vaikeus, jota yritykset voivat kohdata, jos ne päättävät laittaa alustat mustalle listalle. Hakkereilla on kuitenkin haittapuoli, koska heidän jälkiensä poistaminen on lähes mahdotonta. Tuloksena tutkijat pystyivät määrittämään, että ensimmäiset merkit Powersingin toiminnasta olivat peräisin vuonna 2017.
Yhteydet Powersingin ja muiden haittaohjelmaperheiden välillä
Voimalla on joitain erikoisia ominaisuuksia, jotka eivät ole niin yleisiä. Joten kun toisella haittaohjelmaperheellä havaitaan olevan lähes identtiset ominaisuudet, se luo uskottavan hypoteesin, että joko ne ovat saman hakkeriryhmän kehittämiä tai uhkatoimijat tekevät varmasti tiivistä yhteistyötä. Mitä tulee Powersingiin, sen ja kahden muun haittaohjelmaperheen välillä, nimeltään Janicab ja Evilnum, on löydetty yhtäläisyyksiä.
Aloitetaan siitä, että kaikki kolme toimitetaan LNK-tiedostojen kautta, jotka on piilotettu keihäs-phishing-sähköpostien levittämiin liitteisiin. Tosin tämä on melko yleinen taktiikka, mutta kaikki kolme saavat myös C2-osoitteensa dead drop -resolvereiden kautta, joissa on säännöllisiä lausekkeita ja kovakoodattuja lauseita. Lopuksi, näiden haittaohjelmauhkien välillä on päällekkäisyyksiä, kuten joidenkin muuttujien ja toimintojen nimet ovat samat, vaikka ne on kirjoitettu eri koodauskielillä.
