DeathStalker APT
DeathStalker je ime dano grupi hakera za naprednu trajnu prijetnju (APT) za koju istraživači vjeruju da djeluju kao plaćenici ili nude usluge hakiranja za najam. Osnova za ovu analizu su posebne karakteristike prikazane u operacijama koje se pripisuju grupi. Za razliku od onoga što se smatra tipičnim cyber kriminalnim ponašanjem, DeathStalker ne zarazi svoje žrtve ransomwareom i ne prikuplja vjerodajnice bankovnih ili kreditnih/debitnih kartica, jasni znakovi da hakeri ne traže financijsku dobit od svojih žrtava. Umjesto toga, čini se da se DeathStalker specijalizirao za eksfiltraciju podataka iz vrlo uskog niza žrtava. Osim nekih pojedinačnih iznimaka, poput napada na diplomatski subjekt, grupa je dosljedno krenula na privatne tvrtke koje djeluju u financijskom sektoru, kao što su konzultantske tvrtke, tehnološke tvrtke, odvjetnička društva itd. Što se geografskog širenja tiče, praćenjem prometa generiranog jednim od glavnih alata DeathStalkera – prijetnjom zlonamjernog softvera pod nazivom Powersing, žrtve DeathStalkera otkrivene su u Kini, Cipru, Izraelu, Argentini, Libanonu, Švicarskoj, Turskoj, Tajvanu, Ujedinjenom Kraljevstvu i Ujedinjeni Arapski Emirati.
Spear-phishing i Dead Drop Resolvers
Pomno gledajući lanac napada DeathStalker APT-a otkriva se da hakeri isporučuju svoj glavni alat putem e-poruka za krađu identiteta s kompromitovanim privitcima. Priložene datoteke maskirane su kao dokumenti ili arhive Explorera, ali umjesto toga nose oštećenu LNK datoteku. Kada ih nesuđeni korisnik izvrši, on pokreće složeni višestupanjski lanac. Tijekom početne faze korisniku se prikazuje varalica u pokušaju da se prikriju sve aktivnosti koje se događaju u pozadini i izazove što manje sumnje. Mehanizam postojanosti uspostavlja se stvaranjem prečaca u mapi pokretanja sustava Windows koji izvršava VBE skriptu za pokretanje. Stvarni teret zlonamjernog softvera odbacuje se u drugoj fazi napada. Povezuje se na razrješavač mrtvog pada kako bi dobio pravu adresu poslužitelja za naredbu i kontrolu (C&C, C2). Nakon što je komunikacija uspostavljena, Powersing je odgovoran za samo dvije stvari - napraviti snimke zaslona sustava, odmah ih poslati na C2 poslužitelj i pričekati bilo koju Powershell skriptu koju daje C2 za izvršenje.
Neobičan način na koji Powersing dolazi na svoju C2 adresu prilično je jedinstven. Hakeri ostavljaju nizove koji sadrže početne podatke o raznim javnim servisima kao što su postovi, komentari, recenzije, korisnički profili itd. Istraživači su takve poruke otkrili na Google+, Redditu, ShockChanu, Tumblru, Twitteru, YouTubeu, WordPressu i Imguru. Korištenje tako poznatih javnih usluga gotovo jamči uspjeh početne komunikacije zbog lakoće s kojom se promet spaja s uobičajeno generiranim prometom i poteškoća s kojima se tvrtke mogu susresti ako odluče staviti platforme na crnu listu. Međutim, postoji nedostatak za hakere, jer uklanjanje njihovih tragova postaje gotovo nemoguće. Kao rezultat toga, istraživači su uspjeli utvrditi da su prvi znakovi aktivnosti Powersinga nastali još 2017. godine.
Veze između Powersinga i drugih obitelji zlonamjernog softvera
Powersing posjeduje neke osebujne karakteristike koje nisu tako česte. Dakle, kada se otkrije da druga obitelj zlonamjernog softvera ima gotovo identične atribute, to stvara uvjerljivu hipotezu da ih je razvila ista hakerska skupina ili da akteri prijetnji blisko surađuju, svakako. Međutim, kada je riječ o Powersingu, pronađene su sličnosti između njega i dvije druge obitelji zlonamjernog softvera pod nazivom Janicab i Evilnum .
Počnimo s činjenicom da se sve tri isporučuju putem LNK datoteka skrivenih u privitcima koji se šire putem phishing e-pošte. Doduše, ovo je prilično uobičajena taktika, ali sva trojica također dobivaju svoje C2 adrese putem mrtvih razrješača s regularnim izrazima i tvrdo kodiranim rečenicama. Konačno, postoje preklapanja koda između ovih prijetnji zlonamjernog softvera, kao što su identični nazivi za neke varijable i funkcije unatoč tome što su napisani na različitim jezicima kodiranja.
