DeathStalker APT

Ang DeathStalker ay ang pangalang ibinigay sa isang Advanced Persistent Threat (APT) na grupo ng mga hacker na pinaniniwalaan ng mga mananaliksik na tumatakbo bilang mga mersenaryo o nag-aalok ng mga serbisyong hack-for-hire. Ang batayan para sa pagsusuring ito ay ang mga partikular na katangian na ipinapakita sa mga operasyong iniuugnay sa pangkat. Hindi tulad ng itinuturing na karaniwang cybercriminal na pag-uugali, ang DeathStalker ay hindi nakakahawa sa kanilang mga biktima ng ransomware at hindi nangongolekta ng mga kredensyal sa pagbabangko o credit/debit card, malinaw na mga palatandaan na ang mga hacker ay hindi naghahanap ng pinansyal na pakinabang mula sa kanilang mga biktima. Sa halip, mukhang dalubhasa ang DeathStalker sa pag-exfiltrate ng data mula sa napakakitid na hanay ng mga biktima. Bukod sa ilang bukod-tanging eksepsiyon, gaya ng pag-atake sa isang diplomatikong entity, patuloy na hinahabol ng grupo ang mga pribadong kumpanyang tumatakbo sa sektor ng pananalapi, gaya ng mga consultancy firm, kumpanya ng teknolohiya, law firm, atbp. Tungkol naman sa heograpikong pagkalat, sa pamamagitan ng pagsubaybay sa trapikong nabuo ng isa sa mga pangunahing tool ng DeathStalker - isang banta ng malware na tinatawag na Powersing, natuklasan ang mga biktima ng DeathStalker sa China, Cyprus, Israel, Argentina, Lebanon, Switzerland, Turkey, Taiwan, United Kingdom at ang United Arab Emirates.

Spear-Phishing at Dead Drop Resolver

Kung susuriing mabuti ang attack chain ng DeathStalker APT, ipinapakita na ang mga hacker ay naghahatid ng kanilang pangunahing tool sa pamamagitan ng spear-phishing na mga email na may mga nakompromisong attachment. Ang mga naka-attach na file ay nagpapanggap bilang mga dokumento o archive ng Explorer ngunit, sa halip, nagdadala ng sirang LNK file. Kapag ang hindi pinaghihinalaang gumagamit ay nag-execute sa kanila, ito ay magsisimula ng isang convoluted multi-stage chain. Sa paunang yugto, ang isang dokumento ng decoy ay ipinapakita sa user sa pagtatangkang itago ang lahat ng aktibidad na nangyayari sa background at magtaas ng kaunting hinala hangga't maaari. Ang isang mekanismo ng pagtitiyaga ay itinatag sa pamamagitan ng paglikha ng isang shortcut sa folder ng Windows Startup na nagpapatupad ng isang script ng startup ng VBE. Ang aktwal na malware payload ay ibinaba sa ikalawang yugto ng pag-atake. Kumokonekta ito sa isang dead drop resolver para makuha ang totoong Command-and-Control (C&C, C2) na address ng server. Kapag naitatag na ang komunikasyon, dalawang bagay lang ang pananagutan ng Powersing - kumuha ng mga screenshot ng system, ipadala agad ang mga ito sa C2 server at maghintay para sa anumang mga script ng Powershell na ibinigay ng C2 para sa pagpapatupad.

Ang kakaibang paraan kung saan nakarating ang Powersing sa C2 address nito ay medyo kakaiba. Ang mga hacker ay nag-iiwan ng mga string na naglalaman ng paunang data sa iba't ibang pampublikong serbisyo bilang mga post, komento, review, profile ng user, atbp. Natuklasan ng mga mananaliksik ang mga naturang mensahe sa Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress at Imgur. Ang paggamit ng naturang mga kilalang serbisyong pampubliko ay halos ginagarantiyahan ang tagumpay ng paunang komunikasyon dahil sa kadalian kung saan ang trapiko ay sumasama sa karaniwang nabuong trapiko at ang kahirapan na maaaring maranasan ng mga kumpanya kung magpasya silang i-blacklist ang mga platform. Gayunpaman, mayroong isang sagabal para sa mga hacker, dahil ang pag-alis ng kanilang mga bakas ay halos imposible. Bilang resulta, natukoy ng mga mananaliksik na ang mga unang palatandaan ng aktibidad ng Powersing ay nagmula noong 2017.

Mga koneksyon sa pagitan ng Powersing at Iba pang Mga Pamilya ng Malware

Ang Powersing ay nagtataglay ng ilang kakaibang katangian na hindi gaanong karaniwan. Kaya't kapag ang isa pang pamilya ng malware ay natagpuang may halos magkaparehong mga katangian, lumilikha ito ng isang kapani-paniwalang hypothesis na alinman sa mga ito ay binuo ng parehong pangkat ng hacker o ang mga aktor ng banta ay nagtutulungan nang malapitan, tiyak. Gayunpaman, pagdating sa Powersing, may nakitang pagkakatulad sa pagitan nito at ng dalawang iba pang pamilya ng malware na tinatawag na Janicab at Evilnum .

Magsimula tayo sa katotohanan na ang tatlo ay inihahatid sa pamamagitan ng mga LNK file na nakatago sa mga attachment na pinalaganap ng mga email na spear-phishing. Totoo, ito ay isang medyo pangkaraniwang taktika, ngunit lahat ng tatlo ay nakakakuha din ng kanilang mga C2 address sa pamamagitan ng mga dead drop na solver na may mga regular na expression at hardcoded na mga pangungusap. Sa wakas, may mga code na magkakapatong sa pagitan ng mga banta ng malware na ito, tulad ng magkaparehong mga pangalan para sa ilang variable at function sa kabila ng pagkakasulat sa iba't ibang coding na wika.