డెత్స్టాకర్ APT
డెత్స్టాకర్ అనేది అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) హ్యాకర్ల సమూహానికి ఇవ్వబడిన పేరు, పరిశోధకులు కిరాయి సైనికులుగా పనిచేస్తున్నారని లేదా హ్యాక్-ఫర్-హైర్ సేవలను అందిస్తున్నారని నమ్ముతారు. ఈ విశ్లేషణకు ఆధారం సమూహానికి ఆపాదించబడిన కార్యకలాపాలలో ప్రదర్శించబడే ప్రత్యేక లక్షణాలు. సాధారణ సైబర్క్రిమినల్ ప్రవర్తన వలె కాకుండా, DeathStalker వారి బాధితులకు ransomware సోకదు మరియు బ్యాంకింగ్ లేదా క్రెడిట్/డెబిట్ కార్డ్ ఆధారాలను సేకరించదు, హ్యాకర్లు వారి బాధితుల నుండి ఆర్థిక లాభం పొందడం లేదని స్పష్టమైన సంకేతాలు. బదులుగా, డెత్స్టాకర్ బాధితుల యొక్క చాలా ఇరుకైన శ్రేణి నుండి డేటాను వెలికితీయడంలో ప్రత్యేకత కలిగి ఉన్నట్లు కనిపిస్తోంది. దౌత్యపరమైన సంస్థపై దాడి చేయడం వంటి కొన్ని ఏకవచన మినహాయింపులు కాకుండా, సమూహం కన్సల్టెన్సీ సంస్థలు, సాంకేతిక సంస్థలు, న్యాయ సంస్థలు మొదలైన ఆర్థిక రంగంలో కార్యకలాపాలు నిర్వహిస్తున్న ప్రైవేట్ కంపెనీలను స్థిరంగా అనుసరించింది. భౌగోళిక వ్యాప్తి విషయానికొస్తే, డెత్స్టాకర్ యొక్క ప్రధాన సాధనాల్లో ఒకటైన ట్రాఫిక్ను ట్రాక్ చేయడం ద్వారా - పవర్సింగ్ అనే మాల్వేర్ ముప్పు, డెత్స్టాకర్ బాధితులు చైనా, సైప్రస్, ఇజ్రాయెల్, అర్జెంటీనా, లెబనాన్, స్విట్జర్లాండ్, టర్కీ, తైవాన్, యునైటెడ్ కింగ్డమ్ మరియు యునైటెడ్ అరబ్ ఎమిరేట్స్.
స్పియర్-ఫిషింగ్ మరియు డెడ్ డ్రాప్ రిసోల్వర్స్
డెత్స్టాకర్ APT యొక్క దాడి గొలుసును నిశితంగా పరిశీలిస్తే, హ్యాకర్లు రాజీపడిన జోడింపులను మోసే స్పియర్-ఫిషింగ్ ఇమెయిల్ల ద్వారా తమ ప్రధాన సాధనాన్ని బట్వాడా చేస్తారని వెల్లడిస్తుంది. జోడించిన ఫైల్లు ఎక్స్ప్లోరర్ డాక్యుమెంట్లు లేదా ఆర్కైవ్ల వలె మాస్క్వెరేడ్ చేయబడ్డాయి, బదులుగా, పాడైన LNK ఫైల్ను కలిగి ఉంటాయి. సందేహించని వినియోగదారు వాటిని అమలు చేసినప్పుడు, అది మెలికలు తిరిగిన బహుళ-దశల గొలుసును ప్రారంభిస్తుంది. ప్రారంభ దశలో, బ్యాక్గ్రౌండ్లో జరుగుతున్న అన్ని కార్యకలాపాలను మాస్క్ చేయడానికి మరియు వీలైనంత తక్కువ అనుమానాన్ని రేకెత్తించే ప్రయత్నంలో వినియోగదారుకు డికోయ్ డాక్యుమెంట్ ప్రదర్శించబడుతుంది. VBE స్టార్టప్ స్క్రిప్ట్ని అమలు చేసే విండోస్ స్టార్టప్ ఫోల్డర్లో సత్వరమార్గాన్ని సృష్టించడం ద్వారా నిలకడ మెకానిజం ఏర్పాటు చేయబడింది. దాడి యొక్క రెండవ దశలో అసలు మాల్వేర్ పేలోడ్ పడిపోయింది. ఇది నిజమైన కమాండ్-అండ్-కంట్రోల్ (C&C, C2) సర్వర్ చిరునామాను పొందడానికి డెడ్ డ్రాప్ రిసల్వర్కి కనెక్ట్ చేస్తుంది. కమ్యూనికేషన్ స్థాపించబడిన తర్వాత, Powersing కేవలం రెండు విషయాలకు మాత్రమే బాధ్యత వహిస్తుంది - సిస్టమ్ యొక్క స్క్రీన్షాట్లను తీసుకోండి, వాటిని వెంటనే C2 సర్వర్కు పంపండి మరియు అమలు కోసం C2 అందించిన పవర్షెల్ స్క్రిప్ట్ల కోసం వేచి ఉండండి.
పవర్సింగ్ దాని C2 చిరునామాకు వచ్చే విచిత్రమైన మార్గం చాలా ప్రత్యేకమైనది. హ్యాకర్లు పోస్ట్లు, వ్యాఖ్యలు, సమీక్షలు, వినియోగదారు ప్రొఫైల్లు మొదలైన వివిధ పబ్లిక్ సర్వీసెస్లోని ప్రారంభ డేటాను కలిగి ఉన్న స్ట్రింగ్లను వదిలివేస్తారు. పరిశోధకులు Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress మరియు Imgurలో ఇటువంటి సందేశాలను కనుగొన్నారు. సాధారణంగా జనరేట్ అయ్యే ట్రాఫిక్తో సులభంగా ట్రాఫిక్ మిళితం కావడం మరియు ప్లాట్ఫారమ్లను బ్లాక్లిస్ట్ చేయాలని నిర్ణయించుకుంటే కంపెనీలు ఎదుర్కొనే ఇబ్బందుల కారణంగా అటువంటి ప్రసిద్ధ పబ్లిక్ సర్వీస్ల ఉపయోగం ప్రారంభ కమ్యూనికేషన్ విజయానికి దాదాపు హామీ ఇస్తుంది. హ్యాకర్లకు ఒక లోపం ఉంది, అయినప్పటికీ, వారి జాడలను తొలగించడం దాదాపు అసాధ్యం. ఫలితంగా, పవర్సింగ్ కార్యాచరణ యొక్క మొదటి సంకేతాలు 2017లో ఉద్భవించాయని పరిశోధకులు గుర్తించగలిగారు.
పవర్సింగ్ మరియు ఇతర మాల్వేర్ కుటుంబాల మధ్య కనెక్షన్లు
పవర్సింగ్ సాధారణం కాని కొన్ని విచిత్రమైన లక్షణాలను కలిగి ఉంది. కాబట్టి మరొక మాల్వేర్ కుటుంబం దాదాపు ఒకే విధమైన లక్షణాలను కలిగి ఉన్నట్లు కనుగొనబడినప్పుడు, వారు ఒకే హ్యాకర్ సమూహం ద్వారా అభివృద్ధి చేయబడి ఉంటారని లేదా ముప్పు నటులు ఖచ్చితంగా కలిసి పనిచేస్తున్నారని ఇది ఆమోదయోగ్యమైన పరికల్పనను సృష్టిస్తుంది. అయితే, Powersing విషయానికి వస్తే, దానికి మరియు Janicab మరియు Evilnum అనే మరో రెండు మాల్వేర్ కుటుంబాల మధ్య సారూప్యతలు కనుగొనబడ్డాయి.
స్పియర్-ఫిషింగ్ ఇమెయిల్ల ద్వారా ప్రచారం చేయబడిన అటాచ్మెంట్లలో దాగి ఉన్న LNK ఫైల్ల ద్వారా ఈ మూడింటినీ డెలివరీ చేయబడ్డాయనే వాస్తవంతో ప్రారంభిద్దాం. అంగీకరించాలి, ఇది చాలా సాధారణమైన వ్యూహం, కానీ ముగ్గురూ కూడా వారి C2 చిరునామాలను సాధారణ వ్యక్తీకరణలు మరియు హార్డ్కోడ్ వాక్యాలతో డెడ్ డ్రాప్ పరిష్కారాల ద్వారా పొందుతారు. చివరగా, ఈ మాల్వేర్ బెదిరింపుల మధ్య కోడ్ ఓవర్ల్యాప్లు ఉన్నాయి, వివిధ కోడింగ్ భాషలలో వ్రాయబడినప్పటికీ కొన్ని వేరియబుల్స్ మరియు ఫంక్షన్లకు ఒకేలాంటి పేర్లు ఉంటాయి.
