DeathStalker APT
DeathStalker ialah nama yang diberikan kepada kumpulan penggodam Advanced Persistent Threat (APT) yang penyelidik percaya beroperasi sebagai askar upahan atau menawarkan perkhidmatan hack-for-hire. Asas untuk analisis ini ialah ciri khusus yang dipaparkan dalam operasi yang dikaitkan dengan kumpulan. Tidak seperti yang dianggap sebagai tingkah laku penjenayah siber biasa, DeathStalker tidak menjangkiti mangsa mereka dengan perisian tebusan dan tidak mengumpul bukti kelayakan perbankan atau kad kredit/debit, tanda jelas bahawa penggodam tidak mencari keuntungan kewangan daripada mangsa mereka. Sebaliknya, DeathStalker nampaknya mempunyai kepakaran dalam penyingkiran data daripada pelbagai mangsa yang sangat sempit. Selain daripada beberapa pengecualian tunggal, seperti menyerang entiti diplomatik, kumpulan itu telah mengejar syarikat swasta yang beroperasi dalam sektor kewangan, seperti firma perunding, syarikat teknologi, firma guaman, dsb. secara konsisten. Bagi penyebaran geografi, dengan menjejaki trafik yang dijana oleh salah satu alat utama DeathStalker - ancaman perisian hasad yang dipanggil Powersing, mangsa DeathStalker ditemui di China, Cyprus, Israel, Argentina, Lubnan, Switzerland, Turki, Taiwan, United Kingdom dan Emiriah Arab Bersatu.
Penyelesai Spear-Phishing dan Dead Drop
Melihat dengan teliti rantaian serangan DeathStalker APT mendedahkan bahawa penggodam menghantar alat utama mereka melalui e-mel spear-phishing yang membawa lampiran yang dikompromi. Fail yang dilampirkan menyamar sebagai dokumen atau arkib Explorer tetapi, sebaliknya, membawa fail LNK yang rosak. Apabila pengguna yang tidak mengesyaki melaksanakannya, ia memulakan rantaian berbilang peringkat yang berbelit-belit. Semasa peringkat awal, dokumen penipuan dipaparkan kepada pengguna dalam usaha untuk menutup semua aktiviti yang berlaku di latar belakang dan menimbulkan syak wasangka yang mungkin. Mekanisme kegigihan diwujudkan dengan mencipta pintasan dalam folder Permulaan Windows yang melaksanakan skrip permulaan VBE. Muatan perisian hasad sebenar digugurkan pada peringkat kedua serangan. Ia bersambung kepada penyelesai kejatuhan mati untuk mendapatkan alamat pelayan Perintah-dan-Kawalan (C&C, C2) sebenar. Setelah komunikasi diwujudkan, Powersing hanya bertanggungjawab untuk dua perkara - ambil tangkapan skrin sistem, hantarkannya ke pelayan C2 dengan segera dan tunggu sebarang skrip Powershell yang disediakan oleh C2 untuk dilaksanakan.
Cara pelik di mana Powersing tiba di alamat C2nya agak unik. Penggodam meninggalkan rentetan yang mengandungi data awal pada pelbagai perkhidmatan awam sebagai siaran, ulasan, ulasan, profil pengguna, dll. Para penyelidik menemui mesej sedemikian di Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress dan Imgur. Penggunaan perkhidmatan awam yang terkenal itu hampir menjamin kejayaan komunikasi awal kerana kemudahan trafik sebati dengan trafik yang biasa dijana dan kesukaran yang mungkin dihadapi oleh syarikat jika mereka memutuskan untuk menyenaraihitamkan platform. Terdapat kelemahan untuk penggodam, walaupun, kerana menghapuskan jejak mereka menjadi hampir mustahil. Hasilnya, penyelidik dapat menentukan bahawa tanda-tanda pertama aktiviti Powersing bermula pada tahun 2017.
Sambungan antara Powersing dan Keluarga Malware Lain
Powersing mempunyai beberapa ciri pelik yang tidak begitu biasa. Oleh itu, apabila keluarga perisian hasad lain didapati mempunyai atribut yang hampir sama, ia mewujudkan hipotesis yang munasabah bahawa sama ada ia dibangunkan oleh kumpulan penggodam yang sama atau pelakon ancaman bekerja rapat, sudah tentu. Walau bagaimanapun, apabila bercakap mengenai Powersing, persamaan telah ditemui antaranya dengan dua keluarga perisian hasad lain yang dipanggil Janicab dan Evilnum .
Mari kita mulakan dengan fakta bahawa ketiga-tiga dihantar melalui fail LNK yang tersembunyi dalam lampiran yang disebarkan oleh e-mel spear-phishing. Diakui, ini adalah taktik yang agak biasa, tetapi ketiga-tiganya juga mendapatkan alamat C2 mereka melalui penyelesai mati mati dengan ungkapan biasa dan ayat berkod keras. Akhir sekali, terdapat pertindihan kod antara ancaman perisian hasad ini, seperti nama yang sama untuk beberapa pembolehubah dan fungsi walaupun ditulis dalam bahasa pengekodan yang berbeza.
