АПТ охотника за смертью

DeathStalker — это название, данное группе хакеров Advanced Persistent Threat (APT), которые, по мнению исследователей, действуют как наемники или предлагают услуги взлома по найму. Основой для этого анализа являются конкретные характеристики, проявляемые в операциях, приписываемых группе. В отличие от того, что считается типичным поведением киберпреступников, DeathStalker не заражает своих жертв программами-вымогателями и не собирает учетные данные банковских или кредитных/дебетовых карт, что является явным признаком того, что хакеры не ищут финансовой выгоды от своих жертв. Вместо этого DeathStalker, похоже, специализировался на краже данных очень узкого круга жертв. Помимо некоторых исключительных случаев, таких как нападение на дипломатическое учреждение, группа постоянно преследовала частные компании, работающие в финансовом секторе, такие как консалтинговые фирмы, технологические компании, юридические фирмы и т. д. Что касается географического распространения, то путем отслеживания трафика, генерируемого одним из основных инструментов DeathStalker — вредоносной программой под названием Powersing, жертвы DeathStalker были обнаружены в Китае, на Кипре, в Израиле, Аргентине, Ливане, Швейцарии, Турции, Тайване, Великобритании и других странах. Объединенные Арабские Эмираты.

Целевой фишинг и распознаватели тайников

При внимательном рассмотрении цепочки атак DeathStalker APT видно, что хакеры доставляют свой основной инструмент через фишинговые электронные письма, содержащие скомпрометированные вложения. Вложенные файлы маскируются под документы или архивы Explorer, но вместо этого содержат поврежденный файл LNK. Когда ничего не подозревающий пользователь выполняет их, он инициирует запутанную многоступенчатую цепочку. На начальном этапе пользователю отображается документ-приманка в попытке замаскировать все действия, происходящие в фоновом режиме, и вызвать как можно меньше подозрений. Механизм сохранения устанавливается путем создания ярлыка в папке автозагрузки Windows, который выполняет сценарий запуска VBE. Фактическая полезная нагрузка вредоносного ПО отбрасывается на втором этапе атаки. Он подключается к распознавателю тайников, чтобы получить реальный адрес сервера управления и контроля (C&C, C2). Как только связь установлена, Powersing отвечает только за две вещи: делает снимки экрана системы, немедленно отправляет их на сервер C2 и ждет выполнения любых сценариев Powershell, предоставленных C2.

Особый способ, которым Powersing достигает своего адреса C2, совершенно уникален. Хакеры оставляют строки с исходными данными на различных публичных сервисах в виде постов, комментариев, отзывов, профилей пользователей и т. д. Подобные сообщения исследователи обнаружили в Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress и Imgur. Использование таких известных публичных сервисов почти гарантирует успех первоначальной коммуникации из-за легкости, с которой трафик смешивается с обычно генерируемым трафиком, и трудностей, с которыми могут столкнуться компании, если решат занести платформы в черный список. Однако для хакеров есть недостаток, поскольку удаление их следов становится практически невозможным. В результате исследователи смогли определить, что первые признаки активности Пауэрсинга возникли еще в 2017 году.

Связи между Powersing и другими семействами вредоносных программ

Пауэрсинг обладает некоторыми специфическими характеристиками, которые не так уж распространены. Поэтому, когда обнаруживается, что другое семейство вредоносных программ имеет почти идентичные атрибуты, это создает правдоподобную гипотезу о том, что либо они разработаны одной и той же хакерской группой, либо злоумышленники, безусловно, тесно сотрудничают. Однако, когда дело доходит до Powersing, было обнаружено сходство между ним и двумя другими семействами вредоносных программ под названием Janicab и Evilnum .

Начнем с того, что все три доставляются через LNK-файлы, скрытые во вложениях, распространяемых фишинговыми рассылками. По общему признанию, это довольно распространенная тактика, но все три также получают свои адреса C2 через распознаватели тайников с регулярными выражениями и жестко запрограммированными предложениями. Наконец, у этих вредоносных программ есть дублирование кода, например, одинаковые имена для некоторых переменных и функций, несмотря на то, что они написаны на разных языках программирования.