DeathStalker APT

DeathStalker เป็นชื่อที่กำหนดให้กลุ่มแฮ็กเกอร์ Advanced Persistent Threat (APT) ที่นักวิจัยเชื่อว่าปฏิบัติการเป็นทหารรับจ้างหรือเสนอบริการแฮ็คเพื่อจ้าง พื้นฐานสำหรับการวิเคราะห์นี้เป็นลักษณะเฉพาะที่แสดงในการดำเนินการที่มาจากกลุ่ม ต่างจากพฤติกรรมที่ถือเป็นพฤติกรรมอาชญากรไซเบอร์ทั่วไป DeathStalker จะไม่แพร่เชื้อให้กับเหยื่อด้วยแรนซัมแวร์ และไม่รวบรวมข้อมูลการธนาคารหรือบัตรเครดิต/เดบิต สัญญาณที่ชัดเจนว่าแฮ็กเกอร์ไม่ได้แสวงหาผลประโยชน์ทางการเงินจากเหยื่อ ดูเหมือนว่า DeathStalker จะมีความเชี่ยวชาญในการกรองข้อมูลจากกลุ่มเหยื่อที่แคบมาก นอกเหนือจากข้อยกเว้นเอกพจน์บางอย่าง เช่น การโจมตีหน่วยงานทางการทูต กลุ่มดังกล่าวได้ดำเนินการตามบริษัทเอกชนที่ดำเนินงานในภาคการเงิน เช่น บริษัทที่ปรึกษา บริษัทเทคโนโลยี บริษัทกฎหมาย ฯลฯ อย่างต่อเนื่อง สำหรับการแพร่กระจายทางภูมิศาสตร์ โดยการติดตามปริมาณการใช้ข้อมูลที่สร้างโดยหนึ่งในเครื่องมือหลักของ DeathStalker - ภัยคุกคามมัลแวร์ที่เรียกว่า Powersing เหยื่อของ DeathStalker ถูกค้นพบในประเทศจีน ไซปรัส อิสราเอล อาร์เจนตินา เลบานอน สวิตเซอร์แลนด์ ตุรกี ไต้หวัน สหราชอาณาจักร และ สหรัฐอาหรับเอมิเรตส์

ตัวแก้ไข Spear-Phishing และ Dead Drop

การพิจารณาห่วงโซ่การจู่โจมของ DeathStalker APT อย่างใกล้ชิดเผยให้เห็นว่าแฮกเกอร์ส่งเครื่องมือหลักผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่ถูกบุกรุก ไฟล์ที่แนบมานั้นปลอมแปลงเป็นเอกสารหรือไฟล์เก็บถาวรของ Explorer แต่กลับมีไฟล์ LNK ที่เสียหาย เมื่อผู้ใช้ที่ไม่สงสัยดำเนินการดังกล่าว จะเริ่มต้นห่วงโซ่หลายขั้นตอนที่ซับซ้อน ในช่วงเริ่มต้น เอกสารล่อจะแสดงให้ผู้ใช้เห็นเพื่อพยายามปิดบังกิจกรรมทั้งหมดที่เกิดขึ้นในเบื้องหลังและเพิ่มความสงสัยให้น้อยที่สุด กลไกการคงอยู่ถูกสร้างขึ้นโดยการสร้างทางลัดในโฟลเดอร์ Windows Startup ที่เรียกใช้สคริปต์เริ่มต้น VBE เพย์โหลดมัลแวร์จริงจะลดลงในขั้นตอนที่สองของการโจมตี มันเชื่อมต่อกับตัวแก้ไขการหยุดทำงานเพื่อรับที่อยู่เซิร์ฟเวอร์ Command-and-Control (C&C, C2) ที่แท้จริง เมื่อสร้างการสื่อสารแล้ว Powersing จะรับผิดชอบเพียงสองสิ่งเท่านั้น - ถ่ายภาพหน้าจอของระบบ ส่งไปยังเซิร์ฟเวอร์ C2 ทันที และรอสคริปต์ Powershell ที่ C2 ให้มาเพื่อดำเนินการ

วิธีแปลกประหลาดที่ Powersing มาถึงที่อยู่ C2 นั้นค่อนข้างพิเศษ แฮกเกอร์ทิ้งสตริงที่มีข้อมูลเบื้องต้นเกี่ยวกับบริการสาธารณะต่างๆ เช่น โพสต์ ความคิดเห็น บทวิจารณ์ โปรไฟล์ผู้ใช้ ฯลฯ นักวิจัยค้นพบข้อความดังกล่าวใน Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress และ Imgur การใช้บริการสาธารณะที่มีชื่อเสียงดังกล่าวเกือบจะรับประกันความสำเร็จของการสื่อสารในขั้นต้น เนื่องจากความง่ายในการที่ปริมาณการใช้ข้อมูลผสมผสานกับปริมาณการใช้งานที่สร้างขึ้นตามปกติ และความยากลำบากที่บริษัทอาจเผชิญหากพวกเขาตัดสินใจที่จะขึ้นบัญชีดำแพลตฟอร์ม อย่างไรก็ตาม มีข้อเสียสำหรับแฮกเกอร์ เนื่องจากการลบร่องรอยของแฮ็กเกอร์นั้นแทบจะเป็นไปไม่ได้เลย ด้วยเหตุนี้ นักวิจัยจึงสามารถระบุได้ว่าสัญญาณแรกของกิจกรรม Powersing เกิดขึ้นในปี 2017

การเชื่อมต่อระหว่าง Powersing และครอบครัวมัลแวร์อื่นๆ

การเพิ่มพลังมีลักษณะพิเศษบางอย่างที่ไม่ธรรมดา ดังนั้นเมื่อพบว่ามัลแวร์ตระกูลอื่นมีลักษณะที่เกือบจะเหมือนกัน มันสร้างสมมติฐานที่น่าเชื่อถือว่าพวกมันได้รับการพัฒนาโดยกลุ่มแฮ็กเกอร์เดียวกันหรือผู้คุกคามทำงานร่วมกันอย่างใกล้ชิดอย่างแน่นอน แต่เมื่อมันมาถึงการ Powersing คล้ายคลึงกันได้รับการพบระหว่างมันและทั้งสองครอบครัวมัลแวร์อื่น ๆ ที่เรียกว่า Janicab และ Evilnum

เริ่มจากความจริงที่ว่าทั้งสามถูกส่งผ่านไฟล์ LNK ที่ซ่อนอยู่ในไฟล์แนบที่เผยแพร่โดยอีเมลหลอกลวงทางอินเทอร์เน็ต เป็นที่ยอมรับว่าเป็นกลยุทธ์ที่ค่อนข้างธรรมดา แต่ทั้งสามยังได้รับที่อยู่ C2 ผ่านตัวแก้ไขการหยุดนิ่งด้วยนิพจน์ทั่วไปและประโยคที่ฮาร์ดโค้ด สุดท้าย มีโค้ดทับซ้อนระหว่างภัยคุกคามจากมัลแวร์เหล่านี้ เช่น ชื่อที่เหมือนกันสำหรับตัวแปรและฟังก์ชันบางตัว แม้จะเขียนด้วยภาษาการเขียนโปรแกรมต่างกันก็ตาม