DeathStalker APT
डेथस्टॉकर हैकर्स के एक एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह को दिया गया नाम है, जिसके बारे में शोधकर्ताओं का मानना है कि वे भाड़े के सैनिकों के रूप में काम कर रहे हैं या हैक-फॉर-हायर सेवाओं की पेशकश कर रहे हैं। इस विश्लेषण का आधार समूह के लिए जिम्मेदार संचालन में प्रदर्शित विशेष विशेषताएं हैं। विशिष्ट साइबर आपराधिक व्यवहार के विपरीत, डेथस्टॉकर अपने पीड़ितों को रैंसमवेयर से संक्रमित नहीं करता है और बैंकिंग या क्रेडिट/डेबिट कार्ड क्रेडेंशियल एकत्र नहीं करता है, यह स्पष्ट संकेत है कि हैकर्स अपने पीड़ितों से वित्तीय लाभ नहीं मांग रहे हैं। इसके बजाय, ऐसा प्रतीत होता है कि डेथस्टॉकर पीड़ितों की एक बहुत ही संकीर्ण श्रेणी से डेटा के बहिष्करण में विशेषज्ञता प्राप्त कर चुका है। कुछ विलक्षण अपवादों के अलावा, जैसे कि एक राजनयिक इकाई पर हमला करना, समूह वित्तीय क्षेत्र में काम कर रही निजी कंपनियों, जैसे परामर्श फर्मों, प्रौद्योगिकी कंपनियों, कानून फर्मों, आदि के बाद लगातार चला गया है। भौगोलिक प्रसार के लिए, डेथस्टॉकर के मुख्य उपकरणों में से एक द्वारा उत्पन्न यातायात को ट्रैक करके - पावरिंग नामक एक मैलवेयर खतरे, चीन, साइप्रस, इज़राइल, अर्जेंटीना, लेबनान, स्विट्ज़रलैंड, तुर्की, ताइवान, यूनाइटेड किंगडम में डेथस्टॉकर के पीड़ितों की खोज की गई और संयुक्त अरब अमीरात।
स्पीयर-फ़िशिंग और डेड ड्रॉप रिज़ॉल्वर
डेथस्टॉकर एपीटी की हमले श्रृंखला पर एक नजदीकी नजर डालने से पता चलता है कि हैकर्स समझौता किए गए अनुलग्नकों को ले जाने वाले भाले-फ़िशिंग ईमेल के माध्यम से अपना मुख्य उपकरण वितरित करते हैं। संलग्न फाइलें एक्सप्लोरर दस्तावेजों या अभिलेखागार के रूप में मुखौटा हैं, लेकिन इसके बजाय, एक दूषित एलएनके फ़ाइल ले जाती है। जब पहले से न सोचा उपयोगकर्ता उन्हें निष्पादित करता है, तो यह एक जटिल बहु-चरण श्रृंखला शुरू करता है। प्रारंभिक चरण के दौरान, पृष्ठभूमि में चल रही सभी गतिविधियों को छिपाने और यथासंभव कम संदेह पैदा करने के प्रयास में उपयोगकर्ता को एक नकली दस्तावेज़ प्रदर्शित किया जाता है। एक वीबीई स्टार्टअप स्क्रिप्ट निष्पादित करने वाले विंडोज स्टार्टअप फ़ोल्डर में एक शॉर्टकट बनाकर एक दृढ़ता तंत्र स्थापित किया जाता है। वास्तविक मैलवेयर पेलोड हमले के दूसरे चरण में गिरा दिया जाता है। यह वास्तविक कमांड-एंड-कंट्रोल (सी एंड सी, सी 2) सर्वर पता प्राप्त करने के लिए एक मृत ड्रॉप रिज़ॉल्वर से जुड़ता है। एक बार संचार स्थापित हो जाने के बाद, पॉवर्सिंग केवल दो चीजों के लिए जिम्मेदार है - सिस्टम के स्क्रीनशॉट लें, उन्हें तुरंत C2 सर्वर पर भेजें और निष्पादन के लिए C2 द्वारा प्रदान की गई किसी भी Powershell स्क्रिप्ट की प्रतीक्षा करें।
Powersing अपने C2 पते पर जिस अजीबोगरीब तरीके से आता है वह काफी अनोखा है। हैकर्स विभिन्न सार्वजनिक सेवाओं जैसे पोस्ट, टिप्पणियों, समीक्षाओं, उपयोगकर्ता प्रोफाइल आदि पर प्रारंभिक डेटा वाले तार छोड़ देते हैं। शोधकर्ताओं ने Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress और Imgur पर ऐसे संदेशों की खोज की। इस तरह की प्रसिद्ध सार्वजनिक सेवाओं का उपयोग लगभग प्रारंभिक संचार की सफलता की गारंटी देता है, क्योंकि आसानी से ट्रैफ़िक सामान्य रूप से उत्पन्न ट्रैफ़िक के साथ मिश्रित हो जाता है और कंपनियों को प्लेटफ़ॉर्म को ब्लैकलिस्ट करने का निर्णय लेने में कठिनाई का सामना करना पड़ सकता है। हालांकि, हैकर्स के लिए एक खामी है, क्योंकि उनके निशान हटाना लगभग असंभव हो जाता है। नतीजतन, शोधकर्ता यह निर्धारित करने में सक्षम थे कि पॉवरिंग गतिविधि के पहले लक्षण 2017 में वापस आए।
पॉवरिंग और अन्य मैलवेयर परिवारों के बीच संबंध
पॉवरिंग में कुछ अजीबोगरीब विशेषताएं होती हैं जो कि सामान्य नहीं हैं। इसलिए जब एक और मैलवेयर परिवार में लगभग समान विशेषताएं पाई जाती हैं, तो यह एक प्रशंसनीय परिकल्पना बनाता है कि या तो वे एक ही हैकर समूह द्वारा विकसित किए गए हैं या खतरे वाले अभिनेता एक साथ मिलकर काम कर रहे हैं, निश्चित रूप से। हालाँकि, जब पॉवर्सिंग की बात आती है, तो इसके और दो अन्य मैलवेयर परिवारों के बीच समानताएँ पाई गई हैं जिन्हें Janicab और Evilnum कहा जाता है।
आइए इस तथ्य से शुरू करें कि इन तीनों को स्पीयर-फ़िशिंग ईमेल द्वारा प्रचारित अनुलग्नकों में छिपी एलएनके फाइलों के माध्यम से वितरित किया जाता है। बेशक, यह एक बहुत ही सामान्य रणनीति है, लेकिन तीनों नियमित अभिव्यक्तियों और हार्डकोडेड वाक्यों के साथ मृत ड्रॉप रिज़ॉल्वर के माध्यम से अपने C2 पते भी प्राप्त करते हैं। अंत में, इन मैलवेयर खतरों के बीच कोड ओवरलैप होते हैं, जैसे कुछ चर के लिए समान नाम और विभिन्न कोडिंग भाषाओं में लिखे जाने के बावजूद फ़ंक्शंस।
