DeathStalker APT

DeathStalker er navnet gitt til en Advanced Persistent Threat (APT)-gruppe av hackere som forskerne mener opererer som leiesoldater eller tilbyr hack-for-hire-tjenester. Grunnlaget for denne analysen er de spesielle egenskapene som vises i operasjoner som tilskrives gruppen. I motsetning til det som anses som den typiske nettkriminelle oppførselen, infiserer ikke DeathStalker ofrene sine med løsepengevare og samler ikke inn bank- eller kreditt-/debetkortlegitimasjon, klare tegn på at hackerne ikke søker økonomisk vinning fra ofrene sine. I stedet ser det ut til at DeathStalker har spesialisert seg på eksfiltrering av data fra et veldig smalt utvalg av ofre. Bortsett fra noen enkeltstående unntak, som å angripe en diplomatisk enhet, har gruppen gått etter private selskaper som opererer i finanssektoren, som konsulentfirmaer, teknologiselskaper, advokatfirmaer osv. konsekvent. Når det gjelder den geografiske spredningen, ved å spore trafikken generert av et av DeathStalkers hovedverktøy - en trussel mot skadelig programvare kalt Powersing, ble ofre for DeathStalker oppdaget i Kina, Kypros, Israel, Argentina, Libanon, Sveits, Tyrkia, Taiwan, Storbritannia og De forente arabiske emirater.

Spear-phishing og Dead Drop Resolvers

Ved å ta en nærmere titt på angrepskjeden til DeathStalker APT avslører det at hackerne leverer hovedverktøyet sitt gjennom spear-phishing-e-poster med kompromitterte vedlegg. De vedlagte filene er maskert som Explorer-dokumenter eller arkiver, men har i stedet en ødelagt LNK-fil. Når den intetanende brukeren utfører dem, starter den en kronglete flertrinnskjede. I den innledende fasen vises et lokkedokument for brukeren i et forsøk på å maskere all aktiviteten som foregår i bakgrunnen og vekke så lite mistanke som mulig. En utholdenhetsmekanisme etableres ved å lage en snarvei i Windows Startup-mappen som kjører et VBE-oppstartsskript. Den faktiske skadelige nyttelasten blir droppet i den andre fasen av angrepet. Den kobles til en døddråpeløser for å få den virkelige Command-and-Control-serveradressen (C&C, C2). Når kommunikasjonen er etablert, er Powersing bare ansvarlig for to ting - ta skjermbilder av systemet, send dem til C2-serveren umiddelbart og vent på at eventuelle Powershell-skript levert av C2 skal kjøres.

Den særegne måten Powersing kommer til sin C2-adresse på er ganske unik. Hackerne legger igjen strenger som inneholder de første dataene på ulike offentlige tjenester som innlegg, kommentarer, anmeldelser, brukerprofiler osv. Forskerne oppdaget slike meldinger på Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress og Imgur. Bruken av slike velkjente offentlige tjenester garanterer nesten suksessen til den første kommunikasjonen på grunn av hvor lett trafikken smelter sammen med den normalt genererte trafikken og vanskelighetene som selskaper kan møte hvis de bestemmer seg for å svarteliste plattformene. Det er imidlertid en ulempe for hackerne, ettersom å fjerne sporene deres blir nesten umulig. Som et resultat kunne forskere fastslå at de første tegnene på Powersing-aktivitet oppsto tilbake i 2017.

Forbindelser mellom Powersing og andre malware-familier

Powersing har noen særegne egenskaper som ikke er så vanlige. Så når en annen malware-familie viser seg å ha nesten identiske attributter, skaper det en plausibel hypotese om at enten de er utviklet av den samme hackergruppen eller at trusselaktørene jobber tett sammen, absolutt. Når det gjelder Powersing, har det imidlertid blitt funnet likheter mellom det og to andre malware-familier kalt Janicab og Evilnum .

La oss starte med det faktum at alle tre leveres gjennom LNK-filer skjult i vedlegg som spres av spear-phishing-e-poster. Riktignok er dette en ganske vanlig taktikk, men alle tre får også C2-adressene sine gjennom dead drop-resolvere med regulære uttrykk og hardkodede setninger. Til slutt er det kodeoverlappinger mellom disse skadevaretruslene, for eksempel identiske navn for enkelte variabler og funksjoner til tross for at de er skrevet på forskjellige kodespråk.