DeathStalker APT
DeathStalker to nazwa nadana grupie hakerów Advanced Persistent Threat (APT), która według badaczy działa jako najemnicy lub oferuje usługi hakerskie do wynajęcia. Podstawą tej analizy są poszczególne cechy, które występują w operacjach przypisanych do grupy. W przeciwieństwie do tego, co jest uważane za typowe zachowanie cyberprzestępców, DeathStalker nie infekuje swoich ofiar oprogramowaniem ransomware i nie gromadzi danych uwierzytelniających karty bankowe ani karty kredytowej/debetowej, co jest wyraźnym sygnałem, że hakerzy nie szukają korzyści finansowych od swoich ofiar. Zamiast tego wydaje się, że DeathStalker wyspecjalizował się w eksfiltracji danych z bardzo wąskiej grupy ofiar. Poza kilkoma pojedynczymi wyjątkami, takimi jak atak na podmiot dyplomatyczny, grupa konsekwentnie ściga prywatne firmy działające w sektorze finansowym, takie jak firmy konsultingowe, firmy technologiczne, kancelarie prawne itp. Jeśli chodzi o zasięg geograficzny, śledząc ruch generowany przez jedno z głównych narzędzi DeathStalkera - złośliwe oprogramowanie o nazwie Powersing, ofiary DeathStalkera odkryto w Chinach, na Cyprze, w Izraelu, Argentynie, Libanie, Szwajcarii, Turcji, na Tajwanie, w Wielkiej Brytanii i Zjednoczone Emiraty Arabskie.
Spear-phishing i Dead Drop Resolvers
Bliższe przyjrzenie się łańcuchowi ataków DeathStalker APT ujawnia, że hakerzy dostarczają swoje główne narzędzie za pośrednictwem wiadomości e-mail typu spear phishing zawierających zhakowane załączniki. Załączone pliki są maskowane jako dokumenty lub archiwa Eksploratora, ale zamiast tego zawierają uszkodzony plik LNK. Gdy niczego niepodejrzewający użytkownik je wykonuje, inicjuje zawiły wieloetapowy łańcuch. Na początkowym etapie użytkownikowi wyświetlany jest dokument-wabik, który ma na celu zamaskowanie całej aktywności, która ma miejsce w tle i wzbudzenie jak najmniejszego podejrzenia. Mechanizm utrwalania jest ustanawiany przez utworzenie skrótu w folderze Autostart systemu Windows, który wykonuje skrypt startowy VBE. Rzeczywisty ładunek złośliwego oprogramowania jest usuwany w drugiej fazie ataku. Łączy się z przelicznikiem martwych kropli, aby uzyskać prawdziwy adres serwera Command-and-Control (C&C, C2). Po nawiązaniu komunikacji Powersing jest odpowiedzialny tylko za dwie rzeczy - wykonanie zrzutów ekranu systemu, natychmiastowe przesłanie ich na serwer C2 i oczekiwanie na wykonanie dowolnych skryptów Powershell dostarczonych przez C2.
Osobliwy sposób, w jaki Powersing dociera do swojego adresu C2, jest dość wyjątkowy. Hakerzy zostawiają ciągi zawierające początkowe dane dotyczące różnych usług publicznych, takie jak posty, komentarze, recenzje, profile użytkowników itp. Badacze odkryli takie wiadomości w Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress i Imgur. Korzystanie z tak znanych usług publicznych niemal gwarantuje powodzenie początkowej komunikacji ze względu na łatwość, z jaką ruch łączy się z ruchem normalnie generowanym oraz trudności, jakie mogą napotkać firmy, które zdecydują się na umieszczenie platform na czarnej liście. Hakerzy mają jednak pewną wadę, ponieważ usunięcie ich śladów staje się prawie niemożliwe. W rezultacie naukowcy byli w stanie ustalić, że pierwsze oznaki aktywności Powersing pojawiły się już w 2017 roku.
Połączenia między Powersing a innymi rodzinami złośliwego oprogramowania
Powersing posiada pewne szczególne cechy, które nie są tak powszechne. Kiedy więc okazuje się, że inna rodzina złośliwego oprogramowania ma prawie identyczne atrybuty, powstaje prawdopodobna hipoteza, że albo zostały one stworzone przez tę samą grupę hakerów, albo z pewnością cyberprzestępcy ściśle ze sobą współpracują. Jednak jeśli chodzi o Powersing, znaleziono podobieństwa między nim a dwiema innymi rodzinami złośliwego oprogramowania o nazwie Janicab i Evilnum.
Zacznijmy od tego, że wszystkie trzy są dostarczane za pośrednictwem plików LNK ukrytych w załącznikach rozsyłanych przez e-maile typu spear-phishing. Trzeba przyznać, że jest to dość powszechna taktyka, ale wszystkie trzy również uzyskują swoje adresy C2 za pomocą przeliczników martwych kropli z wyrażeniami regularnymi i zdaniami zakodowanymi na sztywno. Wreszcie, zagrożenia złośliwym oprogramowaniem nakładają się na siebie w kodzie, na przykład identyczne nazwy niektórych zmiennych i funkcji, mimo że są napisane w różnych językach kodowania.
