Threat Database Advanced Persistent Threat (APT) ДеатхСталкер АПТ

ДеатхСталкер АПТ

ДеатхСталкер је име дато групи хакера за напредну трајну претњу (АПТ) за коју истраживачи верују да раде као плаћеници или нуде услуге хакерисања. Основа за ову анализу су посебне карактеристике приказане у операцијама које се приписују групи. За разлику од онога што се сматра типичним сајбер криминалним понашањем, ДеатхСталкер не инфицира своје жртве софтвером за рансомваре и не прикупља податке о банкама или кредитним/дебитним картицама, што је јасан знак да хакери не траже финансијску добит од својих жртава. Уместо тога, изгледа да се ДеатхСталкер специјализовао за ексфилтрацију података из веома уског спектра жртава. Осим неких појединачних изузетака, као што је напад на дипломатско лице, група је доследно пратила приватне компаније које послују у финансијском сектору, као што су консултантске фирме, технолошке компаније, адвокатске фирме итд. Што се тиче географског ширења, праћењем саобраћаја који генерише један од главних алата ДеатхСталкер-а - претња малвера под називом Поверсинг, жртве ДеатхСталкера су откривене у Кини, Кипру, Израелу, Аргентини, Либану, Швајцарској, Турској, Тајвану, Уједињеном Краљевству и Уједињени Арапски Емирати.

Спеар-пхисхинг и Деад Дроп Ресолверс

Ако пажљиво погледате ланац напада ДеатхСталкер АПТ-а, открива се да хакери испоручују своју главну алатку путем е-порука за крађу идентитета који носе компромитоване прилоге. Приложене датотеке су маскиране као документи или архиве Екплорера, али уместо тога садрже оштећену ЛНК датотеку. Када их несуђени корисник изврши, он покреће сложени вишестепени ланац. Током почетне фазе, кориснику се приказује варалица у покушају да прикрије све активности које се дешавају у позадини и изазове што је мање могуће сумње. Механизам постојаности се успоставља креирањем пречице у директоријуму Виндовс Стартуп која извршава ВБЕ скрипту за покретање. Стварни терет злонамерног софтвера је одбачен у другој фази напада. Повезује се са ресолвером мртве грешке да би добио праву адресу сервера за команду и контролу (Ц&Ц, Ц2). Када је комуникација успостављена, Поверсинг је одговоран за само две ствари – снимите снимке екрана система, одмах их пошаљите на Ц2 сервер и сачекајте било коју Поверсхелл скрипту коју Ц2 обезбеди за извршење.

Необичан начин на који Поверсинг стиже на своју Ц2 адресу је прилично јединствен. Хакери остављају низове који садрже почетне податке о разним јавним сервисима као што су постови, коментари, рецензије, профили корисника итд. Истраживачи су открили такве поруке на Гоогле+, Реддит, СхоцкЦхан, Тумблр, Твиттер, ИоуТубе, ВордПресс и Имгур. Коришћење тако познатих јавних сервиса готово гарантује успех почетне комуникације због лакоће са којом се саобраћај стапа са нормално генерисаним саобраћајем и потешкоћа на које компаније могу да наиђу ако одлуче да платформе ставе на црну листу. Међутим, постоји недостатак за хакере, јер је уклањање њихових трагова готово немогуће. Као резултат тога, истраживачи су успели да утврде да су први знаци Поверсинг активности настали још 2017.

Везе између Поверсинга и других породица злонамерног софтвера

Овлашћење поседује неке посебне карактеристике које нису толико уобичајене. Дакле, када се открије да друга породица малвера има скоро идентичне атрибуте, то ствара веродостојну хипотезу да их је развила иста хакерска група или да актери претњи блиско сарађују, свакако. Међутим, када је реч о Поверсингу, пронађене су сличности између њега и две друге породице малвера под називом Јаницаб и Евилнум .

Почнимо са чињеницом да се сва три испоручују преко ЛНК датотека скривених у прилозима који се пропагирају путем пхисхинг е-поште. Додуше, ово је прилично уобичајена тактика, али сва тројица такође добијају своје Ц2 адресе преко мртвих разрешивача са регуларним изразима и тврдо кодираним реченицама. Коначно, постоје преклапања кода између ових претњи од малвера, као што су идентична имена за неке варијабле и функције упркос томе што су написане на различитим језицима кодирања.

У тренду

Најгледанији

Учитавање...