DeathStalker APT
डेथस्टाल्कर भनेको एडभान्स्ड पर्सिस्टेन्ट थ्रेट (एपीटी) ह्याकरहरूको समूहलाई दिइएको नाम हो जुन अनुसन्धानकर्ताहरूले भाडामा काम गरिरहेका वा ह्याक-फर-भाडा सेवाहरू प्रस्ताव गर्दैछन् भन्ने विश्वास गर्छन्। यस विश्लेषणको आधार समूहलाई एट्रिब्यूट गरिएका कार्यहरूमा प्रदर्शित विशेष विशेषताहरू हुन्। सामान्य साइबर क्रिमिनल व्यवहार मानिने कुराको विपरीत, DeathStalker ले आफ्ना पीडितहरूलाई ransomware बाट संक्रमित गर्दैन र बैंकिङ वा क्रेडिट/डेबिट कार्ड प्रमाणहरू सङ्कलन गर्दैन, ह्याकरहरूले आफ्ना पीडितहरूबाट आर्थिक लाभ खोजिरहेका छैनन् भन्ने स्पष्ट संकेतहरू। यसको सट्टा, DeathStalker पीडितहरूको धेरै साँघुरो एरेबाट डाटाको निष्कासनमा विशेषज्ञता भएको देखिन्छ। कूटनीतिक निकायमा आक्रमण गर्ने जस्ता केही एकल अपवाद बाहेक, समूहले वित्तीय क्षेत्रमा कार्यरत निजी कम्पनीहरू जस्तै परामर्शदाता फर्म, प्रविधि कम्पनी, कानून फर्महरू आदिलाई निरन्तर पछ्याउँदै आएको छ। भौगोलिक फैलावटको लागि, DeathStalker को मुख्य उपकरणहरू मध्ये एक द्वारा उत्पन्न ट्राफिक ट्र्याक गरेर - Powersing भनिने मालवेयर खतरा, DeathStalker को शिकार चीन, साइप्रस, इजरायल, अर्जेन्टिना, लेबनान, स्विजरल्याण्ड, टर्की, ताइवान, युनाइटेड किंगडम र मा पत्ता लगाइयो। संयुक्त अरब इमिरेट्स।
भाला-फिसिङ र मृत ड्रप समाधानकर्ताहरू
DeathStalker APT को आक्रमण श्रृङ्खलालाई नजिकबाट हेर्दा थाहा हुन्छ कि ह्याकरहरूले आफ्नो मुख्य उपकरणलाई भाला-फिसिङ इमेलहरू मार्फत सम्झौता गरिएको संलग्नकहरू प्रदान गर्छन्। संलग्न फाइलहरू एक्सप्लोरर कागजातहरू वा अभिलेखहरूको रूपमा मास्करेड हुन्छन् तर यसको सट्टा, भ्रष्ट LNK फाइल बोक्छन्। जब अप्रत्याशित प्रयोगकर्ताले तिनीहरूलाई कार्यान्वयन गर्दछ, यसले एक जटिल बहु-चरण श्रृंखला सुरु गर्दछ। प्रारम्भिक चरणको दौडान, पृष्ठभूमिमा भइरहेका सबै गतिविधिहरूलाई मास्क गर्न र सकेसम्म थोरै शङ्का उठाउने प्रयासमा प्रयोगकर्तालाई डिकोय कागजात देखाइन्छ। विन्डोज स्टार्टअप फोल्डरमा सर्टकट सिर्जना गरेर VBE स्टार्टअप स्क्रिप्ट कार्यान्वयन गर्ने दृढता संयन्त्र स्थापना गरिएको छ। वास्तविक मालवेयर पेलोड आक्रमणको दोस्रो चरणमा छोडिएको छ। यो वास्तविक आदेश-र-नियन्त्रण (C&C, C2) सर्भर ठेगाना प्राप्त गर्न मृत ड्रप रिजोल्भरसँग जडान हुन्छ। एकचोटि सञ्चार स्थापना भएपछि, Powersing केवल दुई चीजहरूको लागि जिम्मेवार हुन्छ - प्रणालीको स्क्रिनसटहरू लिनुहोस्, तिनीहरूलाई तुरुन्तै C2 सर्भरमा पठाउनुहोस् र कार्यान्वयनको लागि C2 द्वारा प्रदान गरिएको कुनै पनि Powershell स्क्रिप्टहरूको लागि पर्खनुहोस्।
पावरसिङ आफ्नो C2 ठेगानामा आइपुग्ने विचित्र तरिका एकदमै अनौठो छ। ह्याकरहरूले विभिन्न सार्वजनिक सेवाहरूमा पोस्ट, टिप्पणी, समीक्षा, प्रयोगकर्ता प्रोफाइलहरू, आदिको रूपमा प्रारम्भिक डाटा समावेश गर्ने स्ट्रिङहरू छोड्छन्। अनुसन्धानकर्ताहरूले Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress र Imgur मा त्यस्ता सन्देशहरू पत्ता लगाए। त्यस्ता प्रख्यात सार्वजनिक सेवाहरूको प्रयोगले प्राय: प्रारम्भिक सञ्चारको सफलताको ग्यारेन्टी दिन्छ किनभने ट्राफिक सामान्य रूपमा उत्पन्न हुने ट्राफिकसँग मिल्छ र कम्पनीहरूले प्लेटफर्महरूलाई कालोसूचीमा राख्ने निर्णय गरेमा सामना गर्न सक्ने कठिनाई। ह्याकरहरूको लागि एक कमजोरी छ, यद्यपि, तिनीहरूको ट्रेसहरू हटाउन लगभग असम्भव हुन्छ। नतिजाको रूपमा, अनुसन्धानकर्ताहरूले निर्धारण गर्न सक्षम भए कि Powersing गतिविधिको पहिलो संकेतहरू 2017 मा फिर्ता उत्पन्न भएको थियो।
Powersing र अन्य मालवेयर परिवारहरू बीचको जडानहरू
पावरिङमा केही विशिष्ट विशेषताहरू हुन्छन् जुन सामान्य होइनन्। त्यसोभए जब अर्को मालवेयर परिवारमा लगभग समान विशेषताहरू फेला पर्छन्, यसले एक प्रशंसनीय परिकल्पना सिर्जना गर्दछ कि या त तिनीहरू एउटै ह्याकर समूहद्वारा विकसित गरिएको हो वा खतरा अभिनेताहरूले सँगै काम गरिरहेका छन्, निश्चित रूपमा। यद्यपि, जब यो Powersing को कुरा आउँछ, यो र Janicab र Evilnum भनिने दुई अन्य मालवेयर परिवारहरू बीच समानताहरू फेला परेका छन् ।
यस तथ्यको साथ सुरु गरौं कि सबै तीन LNK फाइलहरू भाला-फिसिङ इमेलहरूद्वारा प्रचारित संलग्नहरूमा लुकेका छन्। निस्सन्देह, यो एक धेरै सामान्य रणनीति हो, तर सबै तीनले नियमित अभिव्यक्ति र हार्डकोड वाक्यहरूको साथ मृत ड्रप रिजोल्भरहरू मार्फत उनीहरूको C2 ठेगानाहरू पनि प्राप्त गर्छन्। अन्तमा, यी मालवेयर खतराहरू बीचको कोड ओभरल्यापहरू छन्, जस्तै विभिन्न कोडिङ भाषाहरूमा लेखिएको भए तापनि केही चरहरू र प्रकार्यहरूका लागि समान नामहरू।
