DeathStalker APT

DeathStalker 是高级持续威胁 (APT) 黑客组织的名称，研究人员认为这些黑客组织以雇佣军的身份运作或提供雇佣黑客服务。此分析的基础是在属于该集团的运营中显示的特定特征。与典型的网络犯罪行为不同，DeathStalker 不会用勒索软件感染受害者，也不会收集银行或信用卡/借记卡凭证，这清楚地表明黑客并不从受害者那里谋取经济利益。相反，DeathStalker 似乎专门从非常有限的受害者阵列中窃取数据。除了一些个别的例外，例如攻击外交实体，该组织一直在追捕从事金融领域的私营公司，例如咨询公司、科技公司、律师事务所等。至于地理分布，通过跟踪 DeathStalker 的主要工具之一——一种名为 Powersing 的恶意软件威胁产生的流量，在中国、塞浦路斯、以色列、阿根廷、黎巴嫩、瑞士、土耳其、台湾、英国和阿拉伯联合酋长国。

鱼叉式网络钓鱼和死掉解析器

仔细观察 DeathStalker APT 的攻击链会发现，黑客通过鱼叉式网络钓鱼电子邮件传送其主要工具，其中包含受感染的附件。附加的文件伪装成 Explorer 文档或档案，但带有损坏的 LNK 文件。当毫无戒心的用户执行它们时，它会启动一个复杂的多阶段链。在初始阶段，会向用户显示诱饵文档，试图掩盖后台正在进行的所有活动，并尽可能少引起怀疑。通过在执行 VBE 启动脚本的 Windows 启动文件夹中创建快捷方式来建立持久性机制。实际的恶意软件有效载荷在攻击的第二阶段被丢弃。它连接到一个死掉的解析器来获取真正的命令和控制（C&C，C2）服务器地址。一旦建立通信，Powersing 只负责两件事 - 对系统进行截图，立即将它们发送到 C2 服务器并等待 C2 提供的任何 Powershell 脚本执行。

Powersing 到达其 C2 地址的特殊方式非常独特。黑客留下包含各种公共服务初始数据的字符串，如帖子、评论、评论、用户个人资料等。研究人员在 Google+、Reddit、ShockChan、Tumblr、Twitter、YouTube、WordPress 和 Imgur 上发现了此类消息。由于流量与正常产生的流量很容易融合，并且公司如果决定将平台列入黑名单可能会遇到困难，因此使用此类知名公共服务几乎可以保证初始通信的成功。但是，黑客有一个缺点，因为删除他们的痕迹几乎是不可能的。因此，研究人员能够确定 Powersing 活动的最初迹象起源于 2017 年。

Powersing 和其他恶意软件家族之间的联系

Powersing 具有一些不常见的特殊特征。因此，当发现另一个恶意软件家族具有几乎相同的属性时，它会产生一个合理的假设，即它们要么是由同一个黑客组织开发的，要么肯定是威胁参与者密切合作。然而，当谈到 Powersing 时，发现它与其他两个名为Janicab和Evilnum 的恶意软件系列之间存在相似之处。

让我们从一个事实开始，这三个文件都是通过隐藏在鱼叉式网络钓鱼电子邮件传播的附件中的 LNK 文件传送的。诚然，这是一种非常常见的策略，但是这三个策略也都是通过带有正则表达式和硬编码语句的死掉解析器来获取它们的 C2 地址。最后，这些恶意软件威胁之间存在代码重叠，例如尽管使用不同的编码语言编写的某些变量和函数的名称相同。