DeathStalker APT
DeathStalker yra pavadinimas, suteiktas Advanced Persistent Threat (APT) įsilaužėlių grupei, kuri, tyrėjų nuomone, veikia kaip samdiniai arba siūlo įsilaužimo paslaugas. Šios analizės pagrindas yra specifinės charakteristikos, rodomos grupei priskirtose operacijose. Skirtingai nuo to, kas laikoma tipišku kibernetinių nusikaltėlių elgesiu, „DeathStalker“ neužkrečia savo aukų išpirkos programine įranga ir nerenka banko ar kredito / debeto kortelių kredencialų, aiškių ženklų, kad įsilaužėliai nesiekia finansinės naudos iš savo aukų. Atrodo, kad DeathStalker specializuojasi duomenų iš labai siauro aukų skaičiaus išskleidimo srityje. Išskyrus kai kurias išskirtines išimtis, pavyzdžiui, užpuolimą prieš diplomatinį subjektą, grupė nuosekliai ieško privačių finansų sektoriuje veikiančių įmonių, tokių kaip konsultacijų įmonės, technologijų įmonės, advokatų kontoros ir kt. Kalbant apie geografinį paplitimą, stebint srautą, kurį generuoja vienas iš pagrindinių DeathStalker įrankių – kenkėjiškų programų grėsmė, vadinama Powersing, DeathStalker aukos buvo aptiktos Kinijoje, Kipre, Izraelyje, Argentinoje, Libane, Šveicarijoje, Turkijoje, Taivane, Jungtinėje Karalystėje ir Jungtiniai Arabų Emyratai.
Spear-phishing ir Dead Drop Resolvers
Atidžiai pažvelgus į DeathStalker APT atakų grandinę paaiškėja, kad įsilaužėliai pateikia savo pagrindinį įrankį per sukčiavimo el. laiškus su pažeistais priedais. Prisegti failai yra apipavidalinti kaip Explorer dokumentai arba archyvai, tačiau juose yra sugadintas LNK failas. Kai nieko neįtariantis vartotojas juos įvykdo, jis pradeda sudėtingą kelių pakopų grandinę. Pradiniame etape vartotojui rodomas apgaulės dokumentas, kuriuo bandoma užmaskuoti visą fone vykstančią veiklą ir sukelti kuo mažiau įtarimų. Patvarumo mechanizmas nustatomas Windows paleisties aplanke sukuriant nuorodą, kuri vykdo VBE paleisties scenarijų. Tikroji kenkėjiškų programų apkrova atsisakoma antrajame atakos etape. Jis prisijungia prie neveikiančio kritimo sprendiklio, kad gautų tikrąjį komandų ir valdymo (C&C, C2) serverio adresą. Užmezgus ryšį, „Powersing“ yra atsakinga tik už du dalykus – padarykite sistemos ekrano kopijas, nedelsdami nusiųskite jas į C2 serverį ir laukite, kol bus vykdomi bet kokie „Powershell“ scenarijai, kuriuos pateikia C2.
Ypatingas būdas, kuriuo Powersing pasiekia savo C2 adresą, yra gana unikalus. Įsilaužėliai palieka eilutes su pradiniais duomenimis apie įvairias viešąsias paslaugas, tokias kaip įrašai, komentarai, apžvalgos, vartotojų profiliai ir kt. Tyrėjai tokius pranešimus aptiko Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress ir Imgur. Naudojimasis tokiomis gerai žinomomis viešosiomis paslaugomis beveik garantuoja pirminio bendravimo sėkmę dėl to, kad srautas lengvai susilieja su įprastai generuojamu srautu ir sunkumų, su kuriais gali susidurti įmonės, nusprendusios įtraukti platformas į juodąjį sąrašą. Tačiau įsilaužėliai turi trūkumų, nes pašalinti jų pėdsakus tampa beveik neįmanoma. Dėl to mokslininkai sugebėjo nustatyti, kad pirmieji Powersingo veiklos požymiai atsirado dar 2017 m.
Ryšiai tarp „Powersing“ ir kitų kenkėjiškų programų šeimų
Galia turi keletą savitų savybių, kurios nėra tokios dažnos. Taigi, kai nustatoma, kad kita kenkėjiškų programų šeima turi beveik identiškus požymius, sukuriama tikėtina hipotezė, kad arba jas sukūrė ta pati įsilaužėlių grupė, arba grėsmės veikėjai, be abejo, glaudžiai bendradarbiauja. Tačiau kalbant apie „Powersing“, buvo rasta panašumų tarp jos ir dviejų kitų kenkėjiškų programų šeimų, vadinamų „ Janicab“ ir „ Evilnum“ .
Pradėkime nuo to, kad visi trys yra pristatomi per LNK failus, paslėptus prieduose, išplatintuose „spear-phishing“ el. Tiesa, tai gana įprasta taktika, tačiau visi trys taip pat gauna savo C2 adresus per „dead drop“ sprendimus su įprastomis išraiškomis ir užkoduotais sakiniais. Galiausiai, šių kenkėjiškų programų grėsmių kodai sutampa, pvz., identiški kai kurių kintamųjų ir funkcijų pavadinimai, nepaisant to, kad jie parašyti skirtingomis kodavimo kalbomis.
