DeathStalker APT
DeathStalker ir nosaukums Advanced Persistent Threat (APT) hakeru grupai, kas, pēc pētnieku domām, darbojas kā algotņi vai piedāvā uzlaušanas pakalpojumus. Šīs analīzes pamatā ir īpašie raksturlielumi, kas parādīti grupai piešķirtajās operācijās. Atšķirībā no tā, kas tiek uzskatīta par tipisku kibernoziedznieku rīcību, DeathStalker neinficē savus upurus ar izspiedējprogrammatūru un neievāc bankas vai kredītkaršu/debetkaršu akreditācijas datus, kas ir skaidras pazīmes, ka hakeri necenšas no saviem upuriem gūt finansiālu labumu. Tā vietā šķiet, ka DeathStalker ir specializējies datu izfiltrēšanā no ļoti šaura upuru loka. Neatkarīgi no dažiem atsevišķiem izņēmumiem, piemēram, uzbrukumiem diplomātiskajai struktūrai, grupa ir konsekventi sekojusi privātiem uzņēmumiem, kas darbojas finanšu sektorā, piemēram, konsultāciju firmām, tehnoloģiju uzņēmumiem, advokātu birojiem utt. Runājot par ģeogrāfisko izplatību, izsekojot trafiku, ko rada viens no DeathStalker galvenajiem rīkiem - ļaunprogrammatūras drauds Powersing, DeathStalker upuri tika atklāti Ķīnā, Kiprā, Izraēlā, Argentīnā, Libānā, Šveicē, Turcijā, Taivānā, Apvienotajā Karalistē un Apvienotie Arābu Emirāti.
Spear-phishing un Dead Drop atrisinātāji
Uzmanīgi aplūkojot DeathStalker APT uzbrukuma ķēdi, atklājas, ka hakeri piegādā savu galveno rīku, izmantojot pikšķerēšanas e-pastus, kas satur apdraudētus pielikumus. Pievienotie faili tiek maskēti kā Explorer dokumenti vai arhīvi, bet tā vietā ir bojāts LNK fails. Kad nenojaušais lietotājs tos izpilda, tas sāk savērptu daudzpakāpju ķēdi. Sākotnējā posmā lietotājam tiek parādīts mānekļu dokuments, mēģinot maskēt visas fonā notiekošās darbības un radīt pēc iespējas mazāk aizdomu. Noturības mehānisms tiek izveidots, Windows startēšanas mapē izveidojot saīsni, kas izpilda VBE startēšanas skriptu. Faktiskā ļaunprogrammatūras slodze tiek pārtraukta uzbrukuma otrajā posmā. Tas tiek savienots ar negadījumu, lai iegūtu īsto Command-and-Control (C&C, C2) servera adresi. Kad saziņa ir izveidota, Powersing ir atbildīgs tikai par divām lietām — uzņemiet sistēmas ekrānuzņēmumus, nekavējoties nosūtiet tos uz C2 serveri un gaidiet, līdz tiks izpildīti visi C2 nodrošinātie Powershell skripti.
Savdabīgais veids, kādā Powersing nonāk savā C2 adresē, ir diezgan unikāls. Hakeri atstāj virknes, kas satur sākotnējos datus par dažādiem publiskajiem pakalpojumiem, piemēram, ziņām, komentāriem, atsauksmēm, lietotāju profiliem utt. Pētnieki atklāja šādus ziņojumus pakalpojumā Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress un Imgur. Šādu labi zināmu sabiedrisko pakalpojumu izmantošana gandrīz garantē sākotnējās komunikācijas panākumus, jo trafika viegli sajaucas ar parasti radīto trafiku, kā arī grūtības, ar kurām uzņēmumi var saskarties, ja tie nolemj platformas iekļaut melnajā sarakstā. Tomēr hakeriem ir trūkums, jo viņu pēdu noņemšana kļūst gandrīz neiespējama. Rezultātā pētnieki varēja noteikt, ka pirmās Powersing aktivitātes pazīmes radās 2017. gadā.
Savienojumi starp Powersing un citām ļaunprātīgas programmatūras ģimenēm
Spēkam piemīt dažas īpatnējas īpašības, kas nav tik izplatītas. Tātad, ja tiek atklāts, ka citai ļaunprātīgas programmatūras grupai ir gandrīz identiski atribūti, tiek radīta ticama hipotēze, ka vai nu tos izstrādā viena un tā pati hakeru grupa, vai arī draudu dalībnieki, protams, cieši sadarbojas. Tomēr, runājot par Powersing, ir atrastas līdzības starp to un divām citām ļaunprātīgas programmatūras ģimenēm, ko sauc par Janicab un Evilnum .
Sāksim ar faktu, ka visi trīs tiek piegādāti, izmantojot LNK failus, kas paslēpti pielikumos, ko izplata pikšķerēšanas e-pasti. Jāatzīst, ka šī ir diezgan izplatīta taktika, taču visi trīs iegūst arī savas C2 adreses, izmantojot mirušos atrisinājumus ar regulārām izteiksmēm un kodētiem teikumiem. Visbeidzot, šie ļaunprogrammatūras draudi pārklājas, piemēram, dažiem mainīgajiem un funkcijām ir identiski nosaukumi, lai gan tie ir rakstīti dažādās kodēšanas valodās.
