Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) DeathStalker APT

DeathStalker APT

Đến năm GoldSparrow năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

DeathStalker là tên được đặt cho một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT) mà các nhà nghiên cứu tin rằng đang hoạt động như lính đánh thuê hoặc cung cấp dịch vụ hack cho thuê. Cơ sở cho phân tích này là các đặc điểm cụ thể được hiển thị trong các hoạt động được phân bổ cho nhóm. Không giống như những gì được coi là hành vi tội phạm mạng điển hình, DeathStalker không lây nhiễm ransomware cho nạn nhân của họ và không thu thập thông tin đăng nhập ngân hàng hoặc thẻ tín dụng / thẻ ghi nợ, dấu hiệu rõ ràng cho thấy tin tặc không tìm kiếm lợi nhuận tài chính từ nạn nhân của họ. Thay vào đó, DeathStalker dường như chuyên lấy dữ liệu từ một nhóm nạn nhân rất hẹp. Ngoài một số trường hợp ngoại lệ, chẳng hạn như tấn công một thực thể ngoại giao, tập đoàn này đã theo đuổi các công ty tư nhân hoạt động trong lĩnh vực tài chính, chẳng hạn như công ty tư vấn, công ty công nghệ, công ty luật, v.v. một cách nhất quán. Đối với sự lây lan theo địa lý, bằng cách theo dõi lưu lượng được tạo ra bởi một trong những công cụ chính của DeathStalker - một mối đe dọa phần mềm độc hại có tên là Powersing, các nạn nhân của DeathStalker đã được phát hiện ở Trung Quốc, Síp, Israel, Argentina, Lebanon, Thụy Sĩ, Thổ Nhĩ Kỳ, Đài Loan, Vương quốc Anh và Những tiểu Vương quốc Ả Rập thống nhất.

Spear-Phishing và Dead Drop Resolvers

Xem xét kỹ chuỗi tấn công của DeathStalker APT cho thấy rằng tin tặc cung cấp công cụ chính của họ thông qua các email lừa đảo trực tuyến có chứa các tệp đính kèm bị xâm phạm. Các tệp đính kèm được giả dạng là tài liệu hoặc kho lưu trữ của Explorer nhưng thay vào đó, mang tệp LNK bị hỏng. Khi người dùng không nghi ngờ thực thi chúng, nó sẽ bắt đầu một chuỗi nhiều giai đoạn phức tạp. Trong giai đoạn đầu, một tài liệu giả mạo được hiển thị cho người dùng nhằm che giấu tất cả các hoạt động đang diễn ra ở chế độ nền và gây ít nghi ngờ nhất có thể. Cơ chế bền vững được thiết lập bằng cách tạo lối tắt trong thư mục Khởi động Windows để thực thi tập lệnh khởi động VBE. Trọng tải phần mềm độc hại thực tế bị giảm trong giai đoạn thứ hai của cuộc tấn công. Nó kết nối với một trình giải quyết thả chết để có được địa chỉ máy chủ Command-and-Control (C&C, C2) thực. Khi giao tiếp được thiết lập, Powersing chỉ chịu trách nhiệm cho hai việc - chụp ảnh màn hình của hệ thống, gửi chúng đến máy chủ C2 ngay lập tức và đợi bất kỳ tập lệnh Powershell nào do C2 cung cấp để thực thi.

Cách thức đặc biệt mà Powersing đến địa chỉ C2 của nó là khá độc đáo. Các tin tặc để lại các chuỗi chứa dữ liệu ban đầu trên các dịch vụ công cộng khác nhau như bài đăng, nhận xét, đánh giá, hồ sơ người dùng, v.v. Các nhà nghiên cứu đã phát hiện ra các thông báo như vậy trên Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress và Imgur. Việc sử dụng các dịch vụ công nổi tiếng như vậy gần như đảm bảo sự thành công của giao tiếp ban đầu do lưu lượng truy cập dễ dàng hòa hợp với lưu lượng truy cập thông thường được tạo ra và khó khăn mà các công ty có thể gặp phải nếu họ quyết định đưa các nền tảng vào danh sách đen. Tuy nhiên, có một hạn chế đối với các tin tặc là việc xóa dấu vết của chúng trở nên gần như không thể. Kết quả là, các nhà nghiên cứu có thể xác định rằng những dấu hiệu đầu tiên của hoạt động Powersing bắt nguồn từ năm 2017.

Kết nối giữa cấp quyền và các họ phần mềm độc hại khác

Quyền năng sở hữu một số đặc điểm đặc biệt mà không phải là phổ biến. Vì vậy, khi một họ phần mềm độc hại khác được phát hiện có các thuộc tính gần như giống hệt nhau, nó tạo ra một giả thuyết hợp lý rằng hoặc chúng được phát triển bởi cùng một nhóm hacker hoặc các tác nhân đe dọa đang hợp tác chặt chẽ với nhau. Tuy nhiên, khi nói đến Powersing, người ta đã tìm thấy những điểm tương đồng giữa nó và hai họ phần mềm độc hại khác có tên là Janicab Evilnum .

Hãy bắt đầu với thực tế là cả ba đều được gửi thông qua các tệp LNK ẩn trong tệp đính kèm được lan truyền bởi các email lừa đảo trực tuyến. Phải thừa nhận rằng đây là một chiến thuật khá phổ biến, nhưng cả ba cũng có được địa chỉ C2 của họ thông qua các trình giải quyết thả chết với các biểu thức chính quy và các câu được mã hóa cứng. Cuối cùng, có sự trùng lặp mã giữa các mối đe dọa phần mềm độc hại này, chẳng hạn như tên giống hệt nhau cho một số biến và hàm mặc dù được viết bằng các ngôn ngữ mã hóa khác nhau.

xu hướng

Lừa đảo qua email 'YouPorn'

Spam
Sau khi kiểm tra kỹ lưỡng các email 'YouPorn', các chuyên gia an ninh mạng đã xác nhận bản chất lừa đảo của chúng. Những email này là một phần của nhiều biến thể thư rác khác nhau, tất cả đều giống với các chiến thuật phân tích sextortion. Chủ đề chung trong số các email lừa đảo này là khẳng định bịa đặt rằng người nhận có liên quan đến tài liệu khiêu dâm được đăng gần đây trên trang...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
14,963
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...