DeathStalker APT
A DeathStalker a neve egy Advanced Persistent Threat (APT) hackercsoport, amelyről a kutatók úgy vélik, hogy zsoldosként működnek, vagy hack-for-béres szolgáltatásokat kínálnak. Ennek az elemzésnek az alapja a csoporthoz tartozó műveletekben megjelenő sajátos jellemzők. Ellentétben a tipikus kiberbűnözői magatartással, a DeathStalker nem fertőzi meg áldozatait zsarolóvírussal, és nem gyűjt banki vagy hitel-/bankkártya hitelesítő adatokat, amelyek egyértelmű jelei annak, hogy a hackerek nem akarnak anyagi haszonra szert tenni áldozataiktól. Ehelyett úgy tűnik, hogy a DeathStalker az áldozatok igen szűk köréből származó adatok kiszűrésére specializálódott. Néhány kivételes kivételtől eltekintve, mint például egy diplomáciai szervezet megtámadása, a csoport következetesen követte a pénzügyi szektorban működő magáncégeket, például tanácsadó cégeket, technológiai cégeket, ügyvédi irodákat stb. Ami a földrajzi terjedést illeti, a DeathStalker egyik fő eszköze – a Powersing nevű malware fenyegetés – által generált forgalom nyomon követésével a DeathStalker áldozatait fedezték fel Kínában, Cipruson, Izraelben, Argentínában, Libanonban, Svájcban, Törökországban, Tajvanon, az Egyesült Királyságban és az Egyesült Arab Emírségek.
Spear-phishing és Dead Drop Resolverek
Ha alaposan megvizsgáljuk a DeathStalker APT támadási láncát, kiderül, hogy a hackerek fő eszközüket adathalász e-maileken keresztül szállítják, amelyek kompromittált mellékleteket tartalmaznak. A csatolt fájlok Explorer-dokumentumoknak vagy archívumoknak álcázva vannak, de ehelyett sérült LNK-fájlt tartalmaznak. Amikor a gyanútlan felhasználó végrehajtja őket, az egy bonyolult többlépcsős láncot indít el. A kezdeti szakaszban egy csalidokumentum jelenik meg a felhasználó számára, hogy elfedje a háttérben zajló összes tevékenységet, és a lehető legkevesebb gyanút keltsen. A megmaradási mechanizmus létrehozásához egy parancsikont hoz létre a Windows Startup mappájában, amely végrehajt egy VBE indító parancsfájlt. A kártevő tényleges rakománya a támadás második szakaszában megszűnik. Csatlakozik egy holtpont-feloldóhoz, hogy megkapja a valódi Command-and-Control (C&C, C2) szervercímet. A kommunikáció létrejötte után a Powersing csak két dologért felelős: képernyőképeket készít a rendszerről, azonnal elküldi a C2 szervernek, és várja meg a C2 által biztosított Powershell-szkriptek végrehajtását.
Az a különös mód, ahogyan a Powersing a C2-es címére érkezik, egészen egyedi. A hackerek a kiindulási adatokat tartalmazó sztringeket hagynak a különféle közszolgáltatásokon, például bejegyzéseken, megjegyzéseken, értékeléseken, felhasználói profilokon stb. A kutatók ilyen üzeneteket fedeztek fel a Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress és Imgur oldalakon. Az ilyen jól ismert közszolgáltatások használata szinte garantálja a kezdeti kommunikáció sikerét, mivel a forgalom könnyen beleolvad a normálisan generált forgalomba, és milyen nehézségekbe ütközhet a cégek, ha úgy döntenek, hogy feketelistára teszik a platformokat. Van azonban egy hátránya a hackerek számára, mivel a nyomaik eltávolítása szinte lehetetlenné válik. Ennek eredményeként a kutatók meg tudták állapítani, hogy a Powersing-tevékenység első jelei 2017-ben jelentkeztek.
Kapcsolatok a Powersing és más rosszindulatú programcsaládok között
A hatalomnak van néhány sajátos jellemzője, amelyek nem olyan gyakoriak. Tehát amikor egy másik rosszindulatú programcsaládról kiderül, hogy szinte azonos attribútumokkal rendelkezik, az egy elfogadható hipotézist hoz létre, miszerint vagy ugyanaz a hackercsoport fejlesztette ki őket, vagy a fenyegetés szereplői szorosan együttműködnek. Ami azonban a Powersinget illeti, hasonlóságokat találtak a között és két másik rosszindulatú programcsalád között, a Janicab és az Evilnum között .
Kezdjük azzal a ténnyel, hogy mindhármat az adathalász e-mailek által terjesztett mellékletekbe rejtett LNK-fájlokon keresztül szállítják. El kell ismerni, hogy ez egy elég gyakori taktika, de mindhárman megkapják a C2-címüket a reguláris kifejezésekkel és kemény kódolt mondatokkal ellátott dead drop feloldókon keresztül. Végezetül, ezek a kártevő-fenyegetések kódok átfedésben vannak, például egyes változók és funkciók azonos elnevezései, annak ellenére, hogy különböző kódolási nyelveken írták őket.
