DeathStalker APT

DeathStalker è il nome dato a un gruppo di hacker APT (Advanced Persistent Threat) che i ricercatori ritengono operino come mercenari o che offrano servizi di hackeraggio. Alla base di questa analisi si trovano le particolari caratteristiche manifestate nelle operazioni attribuite al gruppo. A differenza di quello che è considerato il comportamento tipico dei criminali informatici, DeathStalker non infetta le loro vittime con ransomware e non raccoglie credenziali bancarie o di carte di credito / debito, chiari segni che gli hacker non cercano guadagni finanziari dalle loro vittime. Invece, DeathStalker sembra essersi specializzato nell'esfiltrazione di dati da una gamma molto ristretta di vittime. A parte alcune eccezioni singolari, come l'attacco a un'entità diplomatica, il gruppo ha inseguito costantemente società private che operano nel settore finanziario, come società di consulenza, società tecnologiche, studi legali, ecc. Per quanto riguarda la diffusione geografica, monitorando il traffico generato da uno dei principali strumenti di DeathStalker - una minaccia malware chiamata Powersing, le vittime di DeathStalker sono state scoperte in Cina, Cipro, Israele, Argentina, Libano, Svizzera, Turchia, Taiwan, Regno Unito e gli Emirati Arabi Uniti.

Resolver di Spear-Phishing e Dead Drop

Uno sguardo ravvicinato alla catena di attacchi di DeathStalker APT rivela che gli hacker forniscono il loro strumento principale tramite e-mail di spear phishing che contengono allegati compromessi. I file allegati sono mascherati da documenti o archivi di Explorer ma, invece, contengono un file LNK danneggiato. Quando l'utente ignaro li esegue, avvia una catena a più fasi contorta. Durante la fase iniziale, all'utente viene visualizzato un documento di richiamo nel tentativo di mascherare tutte le attività in corso in background e destare il minor sospetto possibile. Un meccanismo di persistenza viene stabilito creando un collegamento nella cartella Avvio di Windows che esegue uno script di avvio VBE. Il payload effettivo del malware viene eliminato nella seconda fase dell'attacco. Si collega a un risolutore dead drop per ottenere l'indirizzo del server Command-and-Control (C&C, C2) reale. Una volta stabilita la comunicazione, Powersing è responsabile solo di due cose: acquisire screenshot del sistema, inviarli immediatamente al server C2 e attendere l'esecuzione di eventuali script Powershell forniti da C2.

Il modo peculiare in cui Powersing arriva al suo indirizzo C2 è piuttosto unico. Gli hacker lasciano stringhe contenenti i dati iniziali su vari servizi pubblici come post, commenti, recensioni, profili utente, ecc. I ricercatori hanno scoperto tali messaggi su Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress e Imgur. L'utilizzo di tali noti servizi pubblici garantisce quasi il buon esito della comunicazione iniziale per la facilità con cui il traffico si fonde con il traffico normalmente generato e per la difficoltà che le aziende possono incontrare se decidono di inserire le piattaforme nella blacklist. C'è un inconveniente per gli hacker, tuttavia, poiché la rimozione delle loro tracce diventa quasi impossibile. Di conseguenza, i ricercatori sono stati in grado di determinare che i primi segni dell'attività di Powersing hanno avuto origine nel 2017.

Connessioni tra Powersing e altre famiglie di malware

Il potere possiede alcune caratteristiche peculiari che non sono così comuni. Quindi, quando si scopre che un'altra famiglia di malware ha attributi quasi identici, si crea un'ipotesi plausibile che sia sviluppata dallo stesso gruppo di hacker o che gli attori della minaccia stiano lavorando a stretto contatto, certamente. Tuttavia, quando si tratta di Powersing, sono state trovate somiglianze tra esso e altre due famiglie di malware chiamate Janicab ed Evilnum.

Partiamo dal fatto che tutti e tre vengono consegnati tramite file LNK nascosti in allegati propagati da email di spear-phishing. Certo, questa è una tattica piuttosto comune, ma tutti e tre ottengono anche i loro indirizzi C2 tramite risolutori dead drop con espressioni regolari e frasi hardcoded. Infine, ci sono sovrapposizioni di codice tra queste minacce malware, come nomi identici per alcune variabili e funzioni nonostante siano scritti in linguaggi di codifica diversi.