DeathStalker APT

DeathStalker 是高級持續威脅 (APT) 黑客組織的名稱，研究人員認為這些黑客組織以僱傭軍的身份運作或提供僱傭黑客服務。此分析的基礎是在屬於該集團的運營中顯示的特定特徵。與典型的網絡犯罪行為不同，DeathStalker 不會用勒索軟件感染受害者，也不會收集銀行或信用卡/借記卡憑證，這清楚地表明黑客並不從受害者那裡謀取經濟利益。相反，DeathStalker 似乎專門從非常有限的受害者陣列中竊取數據。除了一些個別的例外，例如攻擊外交實體，該組織一直在追捕從事金融領域的私營公司，例如諮詢公司、科技公司、律師事務所等。至於地理分佈，通過跟踪 DeathStalker 的主要工具之一——一種名為 Powersing 的惡意軟件威脅產生的流量，在中國、塞浦路斯、以色列、阿根廷、黎巴嫩、瑞士、土耳其、台灣、英國和阿拉伯聯合酋長國。

魚叉式網絡釣魚和死掉解析器

仔細觀察 DeathStalker APT 的攻擊鏈會發現，黑客通過魚叉式網絡釣魚電子郵件傳送其主要工具，其中包含受感染的附件。附加的文件偽裝成 Explorer 文檔或檔案，但帶有損壞的 LNK 文件。當毫無戒心的用戶執行它們時，它會啟動一個複雜的多階段鏈。在初始階段，會向用戶顯示誘餌文檔，試圖掩蓋後台正在進行的所有活動，並儘可能少引起懷疑。通過在執行 VBE 啟動腳本的 Windows 啟動文件夾中創建快捷方式來建立持久性機制。實際的惡意軟件有效載荷在攻擊的第二階段被丟棄。它連接到一個死掉的解析器來獲取真正的命令和控制（C&C，C2）服務器地址。一旦建立通信，Powersing 只負責兩件事 - 對系統進行截圖，立即將它們發送到 C2 服務器並等待 C2 提供的任何 Powershell 腳本執行。

Powersing 到達其 C2 地址的特殊方式非常獨特。黑客留下包含各種公共服務初始數據的字符串，如帖子、評論、評論、用戶個人資料等。研究人員在 Google+、Reddit、ShockChan、Tumblr、Twitter、YouTube、WordPress 和 Imgur 上發現了此類消息。由於流量與正常產生的流量很容易融合，並且公司如果決定將平台列入黑名單可能會遇到困難，因此使用此類知名公共服務幾乎可以保證初始通信的成功。但是，黑客有一個缺點，因為刪除他們的痕跡幾乎是不可能的。因此，研究人員能夠確定 Powersing 活動的最初跡象起源於 2017 年。

Powersing 和其他惡意軟件家族之間的聯繫

Powersing 具有一些不常見的特殊特徵。因此，當發現另一個惡意軟件家族具有幾乎相同的屬性時，它會產生一個合理的假設，即它們要么是由同一個黑客組織開發的，要么肯定是威脅參與者密切合作。然而，當談到 Powersing 時，發現它與其他兩個名為Janicab和Evilnum 的惡意軟件系列之間存在相似之處。

讓我們從一個事實開始，這三個文件都是通過隱藏在魚叉式網絡釣魚電子郵件傳播的附件中的 LNK 文件傳送的。誠然，這是一種非常常見的策略，但是這三個策略也都是通過帶有正則表達式和硬編碼語句的死掉解析器來獲取它們的 C2 地址。最後，這些惡意軟件威脅之間存在代碼重疊，例如儘管使用不同的編碼語言編寫的某些變量和函數的名稱相同。