DeathStalker APT

DeathStalker הוא השם שניתן לקבוצת האקרים מתמשכת מתקדמת (APT) של האקרים שלדעת החוקרים פועלים כשכירי חרב או מציעים שירותי פריצה להשכרה. הבסיס לניתוח זה הוא המאפיינים המסוימים המוצגים בפעולות המיוחסות לקבוצה. בניגוד למה שנחשב להתנהגות פושעת סייבר טיפוסית, DeathStalker אינו מדביק את הקורבנות שלהם בתוכנת כופר ואינו אוסף אישורי בנק או כרטיסי אשראי/חיוב, סימנים ברורים לכך שההאקרים אינם מחפשים רווח כספי מהקורבנות שלהם. במקום זאת, נראה כי DeathStalker התמחה בסילנה של נתונים ממערך צר מאוד של קורבנות. מלבד כמה חריגים בודדים, כמו תקיפת ישות דיפלומטית, הקבוצה רדפה אחרי חברות פרטיות הפועלות במגזר הפיננסי, כמו חברות ייעוץ, חברות טכנולוגיה, משרדי עורכי דין וכו' בעקביות. באשר להתפשטות הגיאוגרפית, על ידי מעקב אחר התעבורה שנוצרה על ידי אחד הכלים העיקריים של DeathStalker - איום תוכנות זדוניות בשם Powersing, התגלו קורבנות של DeathStalker בסין, קפריסין, ישראל, ארגנטינה, לבנון, שוויץ, טורקיה, טייוואן, בריטניה ו איחוד האמירויות הערביות.

Resolvers של Spear-Phishing ו-Dead Drops

מבט מקרוב על שרשרת התקיפות של DeathStalker APT מגלה שההאקרים מספקים את הכלי העיקרי שלהם באמצעות מיילים דיוג חנית הנושאים קבצים מצורפים שנפגעו. הקבצים המצורפים מתחפשים למסמכי אקספלורר או לארכיונים, אך במקום זאת, נושאים קובץ LNK פגום. כאשר המשתמש התמים מבצע אותם, הוא יוזם שרשרת רב-שלבית מפותלת. בשלב הראשוני מוצג למשתמש מסמך מטעה בניסיון להסוות את כל הפעילות המתרחשת ברקע ולהעלות כמה שפחות חשד. מנגנון התמדה נוצר על ידי יצירת קיצור דרך בתיקיית Windows Startup שמבצעת סקריפט אתחול VBE. מטען התוכנה הזדונית בפועל ירד בשלב השני של המתקפה. הוא מתחבר לפותר טיפה מתים כדי לקבל את כתובת השרת האמיתית של Command-and-Control (C&C, C2). לאחר שהתקשורת נוצרה, Powersing אחראית לשני דברים בלבד - צלם צילומי מסך של המערכת, שלח אותם מיד לשרת C2 והמתן לכל סקריפטים של Powershell שסופקו על ידי C2 לביצוע.

הדרך המוזרה שבה Powersing מגיעה לכתובת C2 שלה היא די ייחודית. ההאקרים משאירים מחרוזות המכילות את הנתונים הראשוניים על שירותים ציבוריים שונים כמו פוסטים, תגובות, ביקורות, פרופילי משתמשים וכו'. החוקרים גילו הודעות כאלה ב-Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress ו-Imgur. השימוש בשירותים ציבוריים מוכרים שכאלה כמעט מבטיח את הצלחת התקשורת הראשונית בשל הקלות שבה התעבורה משתלבת עם התעבורה הנוצרת בדרך כלל והקושי שחברות עלולות להיתקל בו אם יחליטו להכניס את הפלטפורמות לרשימה שחורה. עם זאת, יש חסרון עבור ההאקרים, שכן הסרת עקבותיהם הופכת כמעט לבלתי אפשרית. כתוצאה מכך, החוקרים הצליחו לקבוע שהסימנים הראשונים לפעילות Powersing מקורם ב-2017.

קשרים בין Powersing ומשפחות אחרות של תוכנות זדוניות

ל-Powersing יש כמה מאפיינים מוזרים שאינם כל כך נפוצים. אז כשמוצאים למשפחת תוכנות זדוניות אחרת תכונות כמעט זהות, זה יוצר השערה מתקבלת על הדעת שאו שהם פותחו על ידי אותה קבוצת האקרים או ששחקני האיומים עובדים בשיתוף פעולה הדוק, בהחלט. עם זאת, כשזה מגיע ל-Powersing, נמצאו קווי דמיון בינה לבין שתי משפחות תוכנות זדוניות אחרות בשם Janicab ו- Evilnum .

נתחיל בעובדה ששלושתם מועברים דרך קבצי LNK המוסתרים בקבצים מצורפים המופצים על ידי מיילים דיוג חנית. אמנם, זו טקטיקה די נפוצה, אבל שלושתם גם משיגים את כתובות ה-C2 שלהם באמצעות פותחי שחרור מתים עם ביטויים רגולריים ומשפטים מקודדים. לבסוף, ישנן חפיפות קוד בין איומי תוכנות זדוניות אלה, כגון שמות זהים למשתנים ופונקציות מסוימות למרות שנכתבו בשפות קידוד שונות.