DeathStalker APT
DeathStalker, araştırmacıların paralı asker olarak çalıştıklarına veya kiralık hack hizmetleri sunduğuna inandıkları Gelişmiş Kalıcı Tehdit (APT) hacker grubuna verilen addır. Bu analizin temeli, gruba atfedilen işlemlerde görüntülenen belirli özelliklerdir. Tipik siber suçlu davranışı olarak kabul edilenin aksine, DeathStalker kurbanlarına fidye yazılımı bulaştırmaz ve bankacılık veya kredi/banka kartı kimlik bilgilerini toplamaz; bu, bilgisayar korsanlarının kurbanlarından finansal kazanç elde etmek istemediğinin açık işaretleridir. Bunun yerine, DeathStalker çok dar bir kurban dizisinden gelen verilerin sızdırılmasında uzmanlaşmış gibi görünüyor. Diplomatik bir varlığa saldırmak gibi bazı istisnai durumlar dışında grup, sürekli olarak danışmanlık firmaları, teknoloji şirketleri, hukuk firmaları vb. gibi finans sektöründe faaliyet gösteren özel şirketlerin peşine düştü. Coğrafi yayılmaya gelince, DeathStalker'ın ana araçlarından biri tarafından oluşturulan trafiği takip ederek - Powersing adlı bir kötü amaçlı yazılım tehdidi, DeathStalker kurbanları Çin, Kıbrıs, İsrail, Arjantin, Lübnan, İsviçre, Türkiye, Tayvan, Birleşik Krallık ve Birleşik Arap Emirlikleri.
Spear-Phishing ve Dead Drop Çözümleyiciler
DeathStalker APT'nin saldırı zincirine yakından bakıldığında, bilgisayar korsanlarının ana araçlarını, ele geçirilmiş ekler taşıyan hedef odaklı kimlik avı e-postaları aracılığıyla teslim ettiklerini ortaya koyuyor. Ekli dosyalar, Explorer belgeleri veya arşivleri olarak maskelenir, ancak bunun yerine bozuk bir LNK dosyası taşır. Şüphelenmeyen kullanıcı bunları çalıştırdığında, dolambaçlı çok aşamalı bir zincir başlatır. İlk aşamada, arka planda devam eden tüm etkinliği maskelemek ve mümkün olduğunca az şüphe uyandırmak için kullanıcıya bir sahte belge gösterilir. Windows Başlangıç klasöründe VBE başlangıç komut dosyasını çalıştıran bir kısayol oluşturularak bir kalıcılık mekanizması oluşturulur. Gerçek kötü amaçlı yazılım yükü, saldırının ikinci aşamasında düşürülür. Gerçek Komuta ve Kontrol (C&C, C2) sunucu adresini elde etmek için bir ölü bırakma çözümleyicisine bağlanır. İletişim kurulduktan sonra, Powersing yalnızca iki şeyden sorumludur - sistemin ekran görüntülerini alın, bunları hemen C2 sunucusuna gönderin ve C2 tarafından sağlanan herhangi bir Powershell betiğinin yürütülmesini bekleyin.
Powersing'in C2 adresine ulaşma şekli oldukça benzersizdir. Bilgisayar korsanları, gönderiler, yorumlar, incelemeler, kullanıcı profilleri vb. gibi çeşitli kamu hizmetlerinde ilk verileri içeren dizeler bırakır. Araştırmacılar bu tür mesajları Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress ve Imgur'da keşfetti. Bu tür iyi bilinen kamu hizmetlerinin kullanımı, trafiğin normal olarak oluşturulan trafiğe karışmasının kolaylığı ve şirketlerin platformları kara listeye almaya karar vermeleri durumunda karşılaşabilecekleri zorluk nedeniyle ilk iletişimin başarısını neredeyse garanti eder. Ancak bilgisayar korsanları için bir dezavantaj var, çünkü izlerini silmek neredeyse imkansız hale geliyor. Sonuç olarak, araştırmacılar, Powersing etkinliğinin ilk belirtilerinin 2017'de ortaya çıktığını belirleyebildiler.
Powersing ve Diğer Kötü Amaçlı Yazılım Aileleri Arasındaki Bağlantılar
Güçlendirme, o kadar yaygın olmayan bazı tuhaf özelliklere sahiptir. Bu nedenle, başka bir kötü amaçlı yazılım ailesinin neredeyse aynı özelliklere sahip olduğu tespit edildiğinde, bunların ya aynı hacker grubu tarafından geliştirildiği ya da tehdit aktörlerinin kesinlikle birlikte yakın bir şekilde çalıştığına dair makul bir hipotez oluşturur. Ancak, Powersing söz konusu olduğunda, onunla Janicab ve Evilnum adlı diğer iki kötü amaçlı yazılım ailesi arasında benzerlikler bulundu .
Üçünün de, hedef odaklı kimlik avı e-postaları tarafından yayılan eklerde gizlenmiş LNK dosyaları aracılığıyla teslim edildiği gerçeğiyle başlayalım. Kuşkusuz, bu oldukça yaygın bir taktiktir, ancak üçü de C2 adreslerini düzenli ifadeler ve sabit kodlanmış cümleler içeren ölü damla çözümleyicileri aracılığıyla alır. Son olarak, bu kötü amaçlı yazılım tehditleri arasında, farklı kodlama dillerinde yazılmış olmalarına rağmen bazı değişkenler ve işlevler için aynı adlar gibi kod çakışmaları vardır.
