DeathStalker APT

DeathStalker je názov pre skupinu hackerov APT (Advanced Persistent Threat), o ktorých sa výskumníci domnievajú, že fungujú ako žoldnieri alebo ponúkajú služby na prenájom. Základom pre túto analýzu sú konkrétne charakteristiky zobrazené v operáciách priradených skupine. Na rozdiel od toho, čo sa považuje za typické kyberzločinecké správanie, DeathStalker neinfikuje svoje obete ransomvérom a nezhromažďuje poverenia bankových alebo kreditných/debetných kariet, čo je jasným znakom toho, že hackeri nehľadajú od svojich obetí finančný zisk. Namiesto toho sa zdá, že DeathStalker sa špecializoval na exfiltráciu údajov z veľmi úzkeho okruhu obetí. Okrem ojedinelých výnimiek, ako je napadnutie diplomatického subjektu, skupina dôsledne prenasleduje súkromné spoločnosti pôsobiace vo finančnom sektore, ako sú poradenské firmy, technologické spoločnosti, právnické firmy atď. Čo sa týka geografického rozšírenia, sledovaním návštevnosti generovanej jedným z hlavných nástrojov DeathStalker – malvérovou hrozbou s názvom Powersing, boli obete DeathStalker objavené v Číne, na Cypre, v Izraeli, Argentíne, Libanone, Švajčiarsku, Turecku, na Taiwane, v Spojenom kráľovstve a Spojených Arabských Emirátoch.

Spear-Phishing a Dead Drop Resolvers

Bližší pohľad na reťaz útokov DeathStalker APT ukazuje, že hackeri dodávajú svoj hlavný nástroj prostredníctvom spear-phishingových e-mailov, ktoré obsahujú kompromitované prílohy. Priložené súbory sú maskované ako dokumenty alebo archívy Prieskumníka, ale namiesto toho nesú poškodený súbor LNK. Keď ich vykoná nič netušiaci používateľ, spustí sa spletitý viacstupňový reťazec. Počas počiatočnej fázy sa používateľovi zobrazí návnada v snahe zamaskovať všetku aktivitu prebiehajúcu na pozadí a vyvolať čo najmenšie podozrenie. Mechanizmus pretrvávania sa vytvorí vytvorením odkazu v priečinku Po spustení systému Windows, ktorý spustí spúšťací skript VBE. Skutočné množstvo škodlivého softvéru sa zahodí v druhej fáze útoku. Pripája sa k prekladaču mŕtvej kvapky, aby získal skutočnú adresu servera Command-and-Control (C&C, C2). Po nadviazaní komunikácie je Powersing zodpovedný len za dve veci – urobte snímky obrazovky systému, ihneď ich pošlite na server C2 a počkajte, kým sa spustia všetky skripty Powershell poskytnuté C2.

Zvláštny spôsob, akým Powersing prichádza na svoju C2 adresu, je celkom jedinečný. Hackeri zanechávajú reťazce obsahujúce počiatočné údaje v rôznych verejných službách, ako sú príspevky, komentáre, recenzie, užívateľské profily atď. Výskumníci takéto správy objavili na Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress a Imgur. Používanie takýchto známych verejných služieb takmer zaručuje úspech počiatočnej komunikácie vzhľadom na jednoduchosť, s akou sa prevádzka prelína s bežne generovanou návštevnosťou, a ťažkosti, s ktorými sa môžu spoločnosti stretnúť, ak sa rozhodnú platformy zaradiť na čiernu listinu. Pre hackerov však existuje nevýhoda, pretože odstránenie ich stôp je takmer nemožné. Výsledkom bolo, že výskumníci dokázali určiť, že prvé známky aktivity Powersing sa objavili už v roku 2017.

Spojenie medzi Powersingom a inými rodinami malvéru

Powersing má niektoré zvláštne vlastnosti, ktoré nie sú také bežné. Takže keď sa zistí, že iná rodina malvéru má takmer identické atribúty, vytvorí sa vierohodná hypotéza, že buď sú vyvinuté tou istou hackerskou skupinou, alebo aktéri hrozieb určite úzko spolupracujú. Pokiaľ však ide o Powersing, našli sa podobnosti medzi ním a dvoma ďalšími rodinami malvéru s názvom Janicab a Evilnum .

Začnime tým, že všetky tri sa doručujú prostredníctvom súborov LNK skrytých v prílohách šírených spear-phishingovými e-mailami. Je pravda, že ide o celkom bežnú taktiku, ale všetci traja tiež získavajú svoje adresy C2 prostredníctvom prekladačov mŕtvych kvapiek s regulárnymi výrazmi a pevne zakódovanými vetami. Napokon, medzi týmito malvérovými hrozbami existuje prekrývanie kódu, ako napríklad identické názvy niektorých premenných a funkcií napriek tomu, že sú napísané v rôznych kódovacích jazykoch.