DeathStalker APT
DeathStalker este numele dat unui grup de hackeri Advanced Persistent Threat (APT) despre care cercetătorii cred că operează ca mercenari sau oferă servicii de hack-for-hire. La baza acestei analize se află caracteristicile particulare afișate în operațiunile atribuite grupului. Spre deosebire de ceea ce este considerat comportamentul tipic al criminalului cibernetic, DeathStalker nu își infectează victimele cu ransomware și nu colectează acreditări bancare sau carduri de credit/debit, semne clare că hackerii nu caută câștiguri financiare de la victimele lor. În schimb, DeathStalker pare să se fi specializat în exfiltrarea datelor dintr-un număr foarte restrâns de victime. În afară de unele excepții singulare, cum ar fi atacarea unei entități diplomatice, grupul a urmărit cu consecvență companiile private care activează în sectorul financiar, precum firme de consultanță, companii de tehnologie, firme de avocatură etc. În ceea ce privește răspândirea geografică, prin urmărirea traficului generat de unul dintre instrumentele principale ale DeathStalker - o amenințare malware numită Powersing, victimele DeathStalker au fost descoperite în China, Cipru, Israel, Argentina, Liban, Elveția, Turcia, Taiwan, Regatul Unit și Emiratele Arabe Unite.
Spear-Phishing și Dead Drop Resolvers
O privire atentă asupra lanțului de atac al DeathStalker APT dezvăluie că hackerii își livrează instrumentul principal prin e-mailuri de tip spear-phishing care poartă atașamente compromise. Fișierele atașate sunt mascarate ca documente sau arhive ale Explorer, dar, în schimb, au un fișier LNK corupt. Când utilizatorul nebănuitor le execută, acesta inițiază un lanț complicat în mai multe etape. În timpul etapei inițiale, un document de momeală este afișat utilizatorului în încercarea de a masca toată activitatea care se desfășoară în fundal și de a ridica cât mai puține suspiciuni. Un mecanism de persistență este stabilit prin crearea unei comenzi rapide în folderul Windows Startup care execută un script de pornire VBE. Încărcarea efectivă a programelor malware este eliminată în a doua etapă a atacului. Se conectează la un solutor mort pentru a obține adresa reală a serverului Command-and-Control (C&C, C2). Odată ce comunicarea este stabilită, Powersing este responsabil pentru doar două lucruri - faceți capturi de ecran ale sistemului, trimiteți-le imediat la serverul C2 și așteptați orice scripturi Powershell furnizate de C2 pentru execuție.
Modul particular în care Powersing ajunge la adresa sa C2 este destul de unic. Hackerii lasă șiruri de caractere care conțin datele inițiale pe diverse servicii publice precum postări, comentarii, recenzii, profiluri de utilizatori etc. Cercetătorii au descoperit astfel de mesaje pe Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress și Imgur. Utilizarea unor astfel de servicii publice cunoscute aproape că garantează succesul comunicării inițiale datorită ușurinței cu care traficul se îmbină cu traficul generat în mod normal și dificultății cu care se pot întâmpina companiile dacă decid să pună platformele pe lista neagră. Există totuși un dezavantaj pentru hackeri, deoarece eliminarea urmelor lor devine aproape imposibilă. Drept urmare, cercetătorii au putut determina că primele semne ale activității Powersing au apărut în 2017.
Conexiuni între Powersing și alte familii de malware
Powersing posedă unele caracteristici deosebite care nu sunt atât de comune. Deci, atunci când se constată că o altă familie de malware are atribute aproape identice, se creează o ipoteză plauzibilă că fie sunt dezvoltate de același grup de hackeri, fie actorii amenințărilor lucrează îndeaproape împreună, cu siguranță. Cu toate acestea, când vine vorba de Powersing, au fost găsite asemănări între acesta și alte două familii de malware numite Janicab și Evilnum .
Să începem cu faptul că toate trei sunt livrate prin fișiere LNK ascunse în atașamente propagate prin e-mailuri spear-phishing. Desigur, aceasta este o tactică destul de obișnuită, dar toate trei își obțin și adresele C2 prin soluții de dead drop cu expresii regulate și propoziții hardcoded. În cele din urmă, există suprapuneri de cod între aceste amenințări malware, cum ar fi nume identice pentru unele variabile și funcții, în ciuda faptului că sunt scrise în limbaje de codare diferite.
