DeathStalker APT

DeathStalker é o nome dado ao grupo de hackers de um Advanced Persistent Threat (APT) que os pesquisadores acreditam estar operando como mercenários ou oferecendo serviços de hack para aluguel. A base para esta análise são as características particulares apresentadas nas operações atribuídas ao grupo. Ao contrário do que é considerado um comportamento cibercriminoso típico, o DeathStalker não infecta as suas vítimas com ransomware e não coleta credenciais bancárias ou de cartão de crédito/débito, sinais claros de que os hackers não estão buscando ganho financeiro de suas vítimas. Em vez disso, o DeathStalker parece ter se especializado na extração de dados de uma gama muito estreita de vítimas. Com algumas exceções singulares, tais como o ataque a uma entidade diplomática, o grupo tem perseguido consistentemente empresas privadas que operam no setor financeiro, tais como consultorias, empresas de tecnologia, escritórios de advocacia, etc. Quanto à distribuição geográfica, rastreando o tráfego gerado por uma das principais ferramentas do DeathStalker - uma ameaça de malware chamada Powersing, as vítimas do DeathStalker foram descobertas na China, Chipre, Israel, Argentina, Líbano, Suíça, Turquia, Taiwan, Reino Unido e os Emirados Árabes Unidos.

Resolvedores de Spear-Phishing e Dead Drop

Uma análise mais detalhada da cadeia de ataques do DeathStalker APT revela que os hackers entregam a sua ferramenta principal por meio de e-mails de spear phishing com anexos comprometidos. Os arquivos anexados são mascarados como documentos ou arquivos do Explorer, mas, em vez disso, carregam um arquivo LNK corrompido. Quando o usuário desavisado os executa, ele inicia uma cadeia complicada de vários estágios. Durante o estágio inicial, um documento falso é exibido para o usuário na tentativa de mascarar toda a atividade que está acontecendo em segundo plano e levantar o mínimo de suspeita possível. Um mecanismo de persistência é estabelecido criando um atalho na pasta de inicialização do Windows que executa um script de inicialização do VBE. A carga útil real do malware é descartada no segundo estágio do ataque. Ele se conecta a um resolvedor de dead drop para obter o endereço real do servidor de Comando e Controle (C&C, C2). Uma vez que a comunicação é estabelecida, o Powersing é responsável por apenas duas coisas - tirar screenshots do sistema, enviá-los para o servidor C2 imediatamente e esperar por qualquer script Powershell fornecido pelo C2 para execução.

A maneira peculiar como Powersing chega ao seu endereço C2 é bastante única. Os hackers deixam strings contendo os dados iniciais em vários serviços públicos como postagens, comentários, avaliações, perfis de usuários, etc. Os pesquisadores descobriram essas mensagens no Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress e Imgur. A utilização de serviços públicos tão conhecidos quase garante o sucesso da comunicação inicial devido à facilidade com que o tráfego se mistura com o tráfego gerado normalmente e à dificuldade que as empresas podem encontrar caso decidam colocar as plataformas na lista negra. Porém, há uma desvantagem para os hackers, pois a remoção de seus rastros se torna quase impossível. Como resultado, os pesquisadores puderam determinar que os primeiros sinais de atividade Powersing tiveram origem em 2017.

Conexões entre o Powersing e Outras Famílias de Malware

O Powersing possui algumas características peculiares que não são comuns. Portanto, quando se descobre que outra família de malware tem atributos quase idênticos, isso cria uma hipótese plausível de que eles são desenvolvidos pelo mesmo grupo de hackers ou os atores da ameaça estão trabalhando juntos, certamente. No entanto, quando se trata de Powersing, foram encontradas semelhanças entre ele e duas outras famílias de malware chamadas Janicab e Evilnum .

Vamos começar com o fato de que todos os três são entregues por meio de arquivos LNK ocultos em anexos propagados por e-mails de spear-phishing. Admitidamente, esta é uma tática bastante comum, mas todos os três também obtêm seus endereços C2 por meio de resolvedores de perda de dados com expressões regulares e sentenças codificadas. Finalmente, há sobreposições de código entre essas ameaças de malware, como nomes idênticos para algumas variáveis e funções, apesar de serem escritos em diferentes linguagens de codificação.

Tendendo

Mais visto

Carregando...