DeathStalker APT
DeathStalker — це назва групи хакерів із розширеною стійкою загрозою (APT), які, на думку дослідників, діють як найманці або пропонують послуги «злом за найм». Основою для цього аналізу є конкретні характеристики, що відображаються в операціях, віднесених до групи. На відміну від того, що вважається типовою поведінкою кіберзлочинців, DeathStalker не заражає своїх жертв програмним забезпеченням-вимагачем і не збирає облікові дані банківських або кредитних/дебетових карт, що є явними ознаками того, що хакери не шукають фінансової вигоди від своїх жертв. Натомість DeathStalker, схоже, спеціалізується на вилученні даних з дуже вузького кола жертв. За винятком окремих винятків, таких як напад на дипломатичну установу, група постійно переслідувала приватні компанії, що працюють у фінансовому секторі, такі як консалтингові фірми, технологічні компанії, юридичні фірми тощо. Що стосується географічного поширення, то шляхом відстеження трафіку, створеного одним з основних інструментів DeathStalker - загрозою зловмисного програмного забезпечення Powersing, жертви DeathStalker були виявлені в Китаї, Кіпрі, Ізраїлі, Аргентині, Лівані, Швейцарії, Туреччині, Тайвані, Великобританії та Об'єднані Арабські Емірати.
Spear-phishing і Dead Drop Resolvers
Уважний погляд на ланцюжок атак DeathStalker APT показує, що хакери доставляють свій основний інструмент за допомогою фішингових листів із зламаними вкладеннями. Вкладені файли маскуються під документи або архіви Explorer, але натомість містять пошкоджений файл LNK. Коли нічого не підозрюючи користувач виконує їх, він ініціює заплутаний багатоступеневий ланцюжок. На початковому етапі користувачеві відображається документ-приманка, щоб замаскувати всю діяльність, що відбувається у фоновому режимі, і викликати якомога менше підозр. Механізм збереження встановлюється шляхом створення ярлика в папці запуску Windows, який виконує сценарій запуску VBE. Фактичне корисне навантаження шкідливого програмного забезпечення скидається на другому етапі атаки. Він підключається до безвідповідного розпізнавання, щоб отримати справжню адресу сервера командування та керування (C&C, C2). Після встановлення зв’язку Powersing відповідає лише за дві речі: робити знімки екрана системи, негайно надсилати їх на сервер C2 і чекати виконання будь-яких сценаріїв Powershell, наданих C2.
Особливий спосіб, яким Powersing надходить на свою адресу C2, є досить унікальним. Хакери залишають рядки, що містять вихідні дані про різні публічні сервіси, такі як пости, коментарі, огляди, профілі користувачів тощо. Такі повідомлення дослідники виявили в Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress та Imgur. Використання таких добре відомих публічних послуг майже гарантує успіх початкового зв’язку через легкість, з якою трафік змішується зі звичайно генерованим трафіком, і труднощі, з якими можуть зіткнутися компанії, якщо вони вирішать занести платформи в чорний список. Однак у хакерів є недолік, оскільки видалити їх сліди стає майже неможливим. У результаті дослідники змогли визначити, що перші ознаки активності Powersing виникли ще в 2017 році.
Зв'язки між Powersing та іншими сімействами шкідливих програм
Powersing володіє деякими специфічними характеристиками, які зустрічаються не так часто. Тому, коли виявляється, що інше сімейство шкідливих програм має майже ідентичні атрибути, це створює правдоподібну гіпотезу, що або вони розроблені однією і тією ж групою хакерів, або загрози, безумовно, тісно співпрацюють. Однак, коли справа доходить до Powersing, було виявлено схожість між ним і двома іншими сімействами шкідливих програм під назвою Janicab і Evilnum .
Почнемо з того, що всі три доставляються через LNK-файли, приховані у вкладеннях, що поширюються фішинговими листами. Правда, це досить поширена тактика, але всі троє також отримують свої адреси C2 за допомогою розпізнавачів мертвої точки з регулярними виразами та жорстко закодованими реченнями. Нарешті, існують збіги коду між цими загрозами зловмисного програмного забезпечення, наприклад, ідентичні назви деяких змінних і функцій, незважаючи на те, що вони написані різними мовами кодування.
