DeathStalker APT
DeathStalker is de naam die is gegeven aan een Advanced Persistent Threat (APT) -groep van hackers waarvan de onderzoekers denken dat ze opereren als huursoldaten of hack-for-Hire-services aanbieden. De basis voor deze analyse zijn de specifieke kenmerken die worden weergegeven in bewerkingen die aan de groep worden toegeschreven. In tegenstelling tot wat wordt beschouwd als het typische gedrag van cybercriminelen, infecteert DeathStalker zijn slachtoffers niet met ransomware en verzamelt het geen bank- of creditcard- / debetkaartgegevens, duidelijke tekenen dat de hackers geen financieel gewin van hun slachtoffers zoeken. In plaats daarvan lijkt DeathStalker zich te hebben gespecialiseerd in het exfiltreren van gegevens van een zeer beperkt aantal slachtoffers. Afgezien van enkele uitzonderlijke uitzonderingen, zoals het aanvallen van een diplomatieke entiteit, is de groep consequent achter particuliere bedrijven aan die actief zijn in de financiële sector, zoals adviesbureaus, technologiebedrijven, advocatenkantoren, enz. Wat betreft de geografische spreiding, door het verkeer te volgen dat wordt gegenereerd door een van de belangrijkste tools van DeathStalker - een malwarebedreiging genaamd Powersing, werden slachtoffers van DeathStalker ontdekt in China, Cyprus, Israël, Argentinië, Libanon, Zwitserland, Turkije, Taiwan, het Verenigd Koninkrijk en de Verenigde Arabische Emiraten.
Spear-Phishing en Dead Drop Resolvers
Als je de aanvalsketen van DeathStalker APT van dichtbij bekijkt, blijkt dat de hackers hun belangrijkste tool afleveren via spear-phishing-e-mails met gecompromitteerde bijlagen. De bijgevoegde bestanden doen zich voor als Explorer-documenten of -archieven, maar bevatten in plaats daarvan een beschadigd LNK-bestand. Wanneer de nietsvermoedende gebruiker ze uitvoert, initieert het een ingewikkelde meertrapsketen. Tijdens de eerste fase wordt een lokdocument getoond aan de gebruiker in een poging alle activiteiten die op de achtergrond plaatsvinden te maskeren en zo min mogelijk argwaan te wekken. Een persistentiemechanisme wordt tot stand gebracht door een snelkoppeling te maken in de opstartmap van Windows die een VBE-opstartscript uitvoert. De daadwerkelijke payload van malware valt weg in de tweede fase van de aanval. Het maakt verbinding met een dead drop-resolver om het echte Command-and-Control-serveradres (C&C, C2) te verkrijgen. Zodra de communicatie tot stand is gebracht, is Powersing verantwoordelijk voor slechts twee dingen: maak schermafbeeldingen van het systeem, stuur ze onmiddellijk naar de C2-server en wacht op eventuele Powershell-scripts die door de C2 worden geleverd voor uitvoering.
De eigenaardige manier waarop Powersing op zijn C2-adres arriveert, is vrij uniek. De hackers laten strings achter met de initiële gegevens over verschillende openbare diensten zoals posts, commentaren, recensies, gebruikersprofielen, enz. De onderzoekers ontdekten dergelijke berichten op Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress en Imgur. Het gebruik van dergelijke bekende openbare diensten garandeert bijna het succes van de eerste communicatie vanwege het gemak waarmee het verkeer zich mengt met het normaal gegenereerde verkeer en de moeilijkheid die bedrijven kunnen tegenkomen als ze besluiten de platforms op een zwarte lijst te zetten. Er is echter een nadeel voor de hackers, aangezien het bijna onmogelijk wordt om hun sporen te verwijderen. Als gevolg hiervan konden onderzoekers vaststellen dat de eerste tekenen van Powersing-activiteit al in 2017 ontstonden.
Verbindingen tussen Powersing en andere malwarefamilies
Powersing heeft een aantal bijzondere kenmerken die niet zo vaak voorkomen. Dus wanneer blijkt dat een andere malwarefamilie bijna identieke attributen heeft, ontstaat er een plausibele hypothese dat ze ofwel zijn ontwikkeld door dezelfde hackergroep, ofwel dat de bedreigingsactoren nauw samenwerken. Als het echter om Powersing gaat, zijn er overeenkomsten gevonden tussen het en twee andere malwarefamilies genaamd Janicab en Evilnum.
Laten we beginnen met het feit dat alle drie worden afgeleverd via LNK-bestanden die verborgen zijn in bijlagen die worden verspreid door spear-phishing-e-mails. Toegegeven, dit is een vrij gebruikelijke tactiek, maar alle drie verkrijgen ze ook hun C2-adressen via dead drop resolvers met reguliere expressies en hardgecodeerde zinnen. Ten slotte zijn er code-overlappingen tussen deze malwarebedreigingen, zoals identieke namen voor sommige variabelen en functies ondanks dat ze in verschillende codeertalen zijn geschreven.
