DeathStalker APT
DeathStalker är namnet på en Advanced Persistent Threat (APT) grupp av hackare som forskarna tror fungerar som legosoldater eller erbjuder hack-for-hire-tjänster. Grunden för denna analys är de särskilda egenskaper som visas i verksamheten som tillskrivs gruppen. Till skillnad från vad som anses vara det typiska cyberkriminella beteendet, infekterar DeathStalker inte sina offer med ransomware och samlar inte in bank- eller kredit-/betalkortsuppgifter, tydliga tecken på att hackarna inte söker ekonomisk vinning från sina offer. Istället verkar DeathStalker ha specialiserat sig på exfiltrering av data från en mycket snäv skara av offer. Bortsett från några enstaka undantag, som att attackera en diplomatisk enhet, har gruppen konsekvent gått efter privata företag verksamma inom finanssektorn, såsom konsultföretag, teknikföretag, advokatbyråer, etc. När det gäller den geografiska spridningen upptäcktes offer för DeathStalker i Kina, Cypern, Israel, Argentina, Libanon, Schweiz, Turkiet, Taiwan, Storbritannien, genom att spåra trafiken som genereras av ett av DeathStalkers huvudverktyg - ett skadlig programhot kallat Powersing och Förenade Arabemiraten.
Spear-phishing och Dead Drop Resolvers
Att ta en närmare titt på attackkedjan för DeathStalker APT avslöjar att hackarna levererar sitt huvudsakliga verktyg genom e-post med spjutfiske som innehåller komprometterade bilagor. De bifogade filerna är maskerade som Explorer-dokument eller arkiv men innehåller istället en skadad LNK-fil. När den intet ont anande användaren exekverar dem, initierar den en invecklad flerstegskedja. Under det inledande skedet visas ett lockbetedokument för användaren i ett försök att maskera all aktivitet som pågår i bakgrunden och väcka så lite misstankar som möjligt. En persistensmekanism upprättas genom att skapa en genväg i Windows Startup-mapp som kör ett VBE-startskript. Den faktiska skadliga nyttolasten släpps i det andra steget av attacken. Den ansluter till en dead drop-resolver för att erhålla den verkliga Command-and-Control-serveradressen (C&C, C2). När kommunikationen väl är etablerad ansvarar Powersing endast för två saker - ta skärmdumpar av systemet, skicka dem till C2-servern omedelbart och vänta på att eventuella Powershell-skript som tillhandahålls av C2 ska köras.
Det märkliga sättet på vilket Powersing kommer fram till sin C2-adress är ganska unikt. Hackarna lämnar strängar som innehåller de initiala uppgifterna om olika offentliga tjänster som inlägg, kommentarer, recensioner, användarprofiler etc. Forskarna upptäckte sådana meddelanden på Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress och Imgur. Användningen av sådana välkända offentliga tjänster garanterar nästan framgången för den initiala kommunikationen på grund av den lätthet med vilken trafiken smälter in i den normalt genererade trafiken och svårigheten som företag kan stöta på om de bestämmer sig för att svartlista plattformarna. Det finns dock en nackdel för hackarna, eftersom det blir nästan omöjligt att ta bort deras spår. Som ett resultat kunde forskare fastställa att de första tecknen på Powersing-aktivitet uppstod redan 2017.
Anslutningar mellan Powersing och andra familjer med skadlig programvara
Powersing har några speciella egenskaper som inte är så vanliga. Så när en annan malware-familj upptäcks ha nästan identiska attribut, skapar det en rimlig hypotes att antingen är de utvecklade av samma hackergrupp eller så arbetar hotaktörerna nära tillsammans. Men när det kommer till Powersing har likheter hittats mellan det och två andra skadlig programvara som heter Janicab och Evilnum.
Låt oss börja med det faktum att alla tre levereras via LNK-filer gömda i bilagor som sprids av e-postmeddelanden om nätfiske. Visserligen är detta en ganska vanlig taktik, men alla tre får också sina C2-adresser genom dead drop-resolvers med reguljära uttryck och hårdkodade meningar. Slutligen finns det kodöverlappningar mellan dessa skadliga hot, till exempel identiska namn för vissa variabler och funktioner trots att de är skrivna på olika kodningsspråk.
