DeathStalker APT
DeathStalker je ime, dano skupini hekerjev Advanced Persistent Threat (APT), za katere raziskovalci menijo, da delujejo kot plačanci ali ponujajo storitve vdora za najem. Osnova za to analizo so posebne značilnosti, prikazane v operacijah, pripisanih skupini. Za razliko od tega, kar velja za tipično vedenje kibernetskega kriminala, DeathStalker svojih žrtev ne okuži z izsiljevalsko programsko opremo in ne zbira bančnih ali kreditnih/debetnih kartic, kar je jasni znak, da hekerji od svojih žrtev ne iščejo finančne koristi. Namesto tega se zdi, da se je DeathStalker specializiral za ekstrakcijo podatkov iz zelo ozkega nabora žrtev. Poleg nekaterih posebnih izjem, kot je napad na diplomatski subjekt, je skupina dosledno sledila zasebnim podjetjem, ki delujejo v finančnem sektorju, kot so svetovalna podjetja, tehnološka podjetja, odvetniške pisarne itd. Kar zadeva geografsko razširjenost, so s sledenjem prometa, ki ga ustvarja eno od glavnih orodij DeathStalkerja – grožnja zlonamerne programske opreme Powersing, žrtve DeathStalkerja odkrili na Kitajskem, Cipru, v Izraelu, Argentini, Libanonu, Švici, Turčiji, Tajvanu, Združenem kraljestvu in Združeni arabski emirati.
Spear-phishing in Dead Drop Resolverji
Natančen pogled na verigo napadov DeathStalker APT razkrije, da hekerji svoje glavno orodje dostavijo prek e-poštnih sporočil z lažnim predstavljanjem, ki vsebujejo ogrožene priloge. Priložene datoteke so maskirane kot dokumenti ali arhivi Explorerja, vendar namesto tega vsebujejo poškodovano datoteko LNK. Ko jih nič hudega sluteči uporabnik izvede, sproži zapleteno večstopenjsko verigo. V začetni fazi se uporabniku prikaže dokument za vabo, s katerim poskuša prikriti vso dejavnost, ki se dogaja v ozadju, in vzbuditi čim manj suma. Mehanizem obstojnosti se vzpostavi z ustvarjanjem bližnjice v zagonski mapi Windows, ki izvaja zagonski skript VBE. Dejanska koristna obremenitev zlonamerne programske opreme se izpusti v drugi fazi napada. Povezuje se z razreševalnikom mrtve točke, da pridobi pravi naslov strežnika za upravljanje in nadzor (C&C, C2). Ko je komunikacija vzpostavljena, je Powersing odgovoren le za dve stvari - naredi posnetke zaslona sistema, jih takoj pošlje strežniku C2 in počaka na izvedbo vseh skriptov Powershell, ki jih zagotovi C2.
Nenavaden način, kako Powersing prispe na svoj naslov C2, je precej edinstven. Hekerji puščajo nize, ki vsebujejo začetne podatke o različnih javnih storitvah, kot so objave, komentarji, ocene, profili uporabnikov itd. Takšna sporočila so raziskovalci odkrili na Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress in Imgur. Uporaba tako znanih javnih storitev skoraj zagotavlja uspeh začetne komunikacije zaradi enostavnosti, s katero se promet zlije z običajno ustvarjenim prometom, in težav, s katerimi se lahko srečajo podjetja, če se odločijo platforme uvrstiti na črno listo. Vendar pa je za hekerje pomanjkljivost, saj je odstranjevanje njihovih sledi skoraj nemogoče. Kot rezultat, so raziskovalci lahko ugotovili, da so prvi znaki Powersingove dejavnosti nastali že leta 2017.
Povezave med Powersingom in drugimi družinami zlonamerne programske opreme
Powersing ima nekaj posebnih lastnosti, ki niso tako pogoste. Torej, ko se ugotovi, da ima druga družina zlonamerne programske opreme skoraj enake atribute, se ustvari verjetna hipoteza, da jih je razvila ista hekerska skupina ali pa akterji grožnje zagotovo tesno sodelujejo. Ko pa gre za Powersing, so bile ugotovljene podobnosti med njim in dvema drugima družinama zlonamerne programske opreme, imenovanima Janicab in Evilnum .
Začnimo z dejstvom, da so vsi trije dostavljeni prek datotek LNK, skritih v prilogah, ki jih širijo e-poštna sporočila z lažnim predstavljanjem. Resda je to precej pogosta taktika, vendar vsi trije pridobijo tudi svoje naslove C2 prek reševalnikov mrtvih padcev z regularnimi izrazi in trdo kodiranimi stavki. Končno, med temi grožnjami zlonamerne programske opreme obstajajo prekrivanja kode, kot so enaka imena za nekatere spremenljivke in funkcije, čeprav so napisane v različnih jezikih kodiranja.
