DeathStalker APT

DeathStalker është emri i dhënë një grupi hakerësh të Kërcënimeve të Avancuara (APT), të cilët studiuesit besojnë se veprojnë si mercenarë ose ofrojnë shërbime hakerimi për qira. Baza për këtë analizë janë karakteristikat e veçanta të shfaqura në operacionet që i atribuohen grupit. Ndryshe nga ajo që konsiderohet si sjellje tipike kriminale kibernetike, DeathStalker nuk i infekton viktimat e tyre me ransomware dhe nuk mbledh kredencialet bankare ose të kartave të kreditit/debitit, shenja të qarta që hakerët nuk po kërkojnë përfitime financiare nga viktimat e tyre. Në vend të kësaj, DeathStalker duket se është specializuar në nxjerrjen e të dhënave nga një grup shumë i ngushtë viktimash. Përveç disa përjashtimeve të veçanta, si sulmi ndaj një subjekti diplomatik, grupi ka ndjekur vazhdimisht kompanitë private që operojnë në sektorin financiar, si firma konsulence, kompani teknologjike, studio ligjore etj. Sa i përket përhapjes gjeografike, duke gjurmuar trafikun e krijuar nga një nga mjetet kryesore të DeathStalker - një kërcënim malware i quajtur Powersing, viktimat e DeathStalker u zbuluan në Kinë, Qipro, Izrael, Argjentinë, Liban, Zvicër, Turqi, Tajvan, Mbretërinë e Bashkuar dhe Emiratet e Bashkuara Arabe.

Spear-Phishing dhe Dead Drop Resolvers

Duke parë nga afër zinxhirin e sulmeve të DeathStalker APT zbulon se hakerët e dorëzojnë mjetin e tyre kryesor përmes emaileve të phishing-ut që mbajnë bashkëngjitje të komprometuara. Skedarët e bashkangjitur janë të maskuar si dokumente ose arkiva të Explorer, por, në vend të kësaj, mbajnë një skedar të korruptuar LNK. Kur përdoruesi që nuk dyshon i ekzekuton ato, ai fillon një zinxhir të ndërlikuar me shumë faza. Gjatë fazës fillestare, një dokument mashtrimi i shfaqet përdoruesit në një përpjekje për të maskuar të gjithë aktivitetin që po ndodh në sfond dhe për të ngritur sa më pak dyshime. Një mekanizëm i qëndrueshmërisë krijohet duke krijuar një shkurtore në dosjen e fillimit të Windows që ekzekuton një skript fillestar VBE. Ngarkesa aktuale e softuerit të dëmshëm bie në fazën e dytë të sulmit. Ai lidhet me një zgjidhës të pikës së vdekur për të marrë adresën e vërtetë të serverit Command-and-Control (C&C, C2). Pasi të vendoset komunikimi, Powersing është përgjegjës vetëm për dy gjëra - merrni pamje nga ekrani të sistemit, dërgojini ato menjëherë te serveri C2 dhe prisni çdo skript Powershell të ofruar nga C2 për ekzekutim.

Mënyra e veçantë në të cilën Powersing arrin në adresën e saj C2 është mjaft unike. Hakerët lënë vargje që përmbajnë të dhëna fillestare për shërbime të ndryshme publike si postime, komente, komente, profile të përdoruesve, etj. Studiuesit zbuluan mesazhe të tilla në Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress dhe Imgur. Përdorimi i shërbimeve publike të tilla të njohura pothuajse garanton suksesin e komunikimit fillestar për shkak të lehtësisë me të cilën trafiku përzihet me trafikun e gjeneruar normalisht dhe vështirësisë që kompanitë mund të hasin nëse vendosin të vendosin platformat në listën e zezë. Megjithatë, ka një pengesë për hakerët, pasi heqja e gjurmëve të tyre bëhet pothuajse e pamundur. Si rezultat, studiuesit ishin në gjendje të përcaktojnë se shenjat e para të aktivitetit të Powersing filluan në vitin 2017.

Lidhjet midis Powersing dhe familjeve të tjera malware

Fuqia zotëron disa karakteristika të veçanta që nuk janë aq të zakonshme. Pra, kur një familje tjetër malware zbulohet se ka atribute pothuajse identike, krijon një hipotezë të besueshme që ose janë zhvilluar nga i njëjti grup hakerash ose aktorët e kërcënimit po punojnë ngushtë së bashku, sigurisht. Megjithatë, kur bëhet fjalë për Powersing, janë gjetur ngjashmëri midis tij dhe dy familjeve të tjera malware të quajtur Janicab dhe Evilnum .

Le të fillojmë me faktin se të treja dorëzohen përmes skedarëve LNK të fshehura në bashkëngjitjet e përhapura nga emailet e phishing-ut. Sigurisht, kjo është një taktikë mjaft e zakonshme, por të tre gjithashtu marrin adresat e tyre C2 përmes zgjidhësve të pikave të vdekura me shprehje të rregullta dhe fjali të koduara. Së fundi, ka mbivendosje kodesh midis këtyre kërcënimeve malware, të tilla si emra identikë për disa variabla dhe funksione, pavarësisht se janë shkruar në gjuhë të ndryshme kodimi.