DeathStalker APT
DeathStalker ist der Name einer Gruppe von Hackern mit Advanced Persistent Threat (APT), von denen die Forscher glauben, dass sie als Söldner agieren oder Hack-for-Hire-Dienste anbieten. Grundlage für diese Analyse sind die besonderen Merkmale, die in den der Gruppe zugeordneten Operationen angezeigt werden. Im Gegensatz zu dem, was als typisches Verhalten von Cyberkriminellen angesehen wird, infiziert DeathStalker seine Opfer nicht mit Ransomware und sammelt keine Bank- oder Kredit- / Debitkartenausweise. Dies ist ein klares Zeichen dafür, dass die Hacker keinen finanziellen Gewinn von ihren Opfern erwarten. Stattdessen scheint sich DeathStalker auf die Exfiltration von Daten aus einer sehr engen Anzahl von Opfern spezialisiert zu haben. Abgesehen von einigen Ausnahmen, wie dem Angriff auf eine diplomatische Einheit, hat die Gruppe private Unternehmen, die im Finanzsektor tätig sind, wie Beratungsunternehmen, Technologieunternehmen, Anwaltskanzleien usw., konsequent verfolgt. In Bezug auf die geografische Verbreitung wurden Opfer von DeathStalker in China, Zypern, Israel, Argentinien, Libanon, der Schweiz, der Türkei, Taiwan, dem Vereinigten Königreich, den USA, und in den Vereinigten Arabischen Emirate entdeckt.
Spear-Phishing und Dead Drop Resolver
Ein genauer Blick auf die Angriffskette von DeathStalker APT zeigt, dass die Hacker ihr Hauptwerkzeug über Spear-Phishing-E-Mails mit kompromittierten Anhängen bereitstellen. Die angehängten Dateien werden als Explorer-Dokumente oder Archive maskiert, enthalten jedoch stattdessen eine beschädigte LNK-Datei. Wenn der ahnungslose Benutzer sie ausführt, initiiert er eine verschlungene mehrstufige Kette. In der Anfangsphase wird dem Benutzer ein Täuschungsdokument angezeigt, um alle im Hintergrund ablaufenden Aktivitäten zu maskieren und so wenig Verdacht wie möglich zu erregen. Ein Persistenzmechanismus wird eingerichtet, indem im Windows-Startordner eine Verknüpfung erstellt wird, die ein VBE-Startskript ausführt. Die tatsächliche Malware-Nutzlast wird in der zweiten Phase des Angriffs gelöscht. Es stellt eine Verbindung zu einem Dead Drop Resolver her, um die tatsächliche Command-and-Control-Serveradresse (C & C, C2) zu erhalten. Sobald die Kommunikation hergestellt ist, ist Powersing nur für zwei Dinge verantwortlich: Screenshots des Systems zu machen, sie sofort an den C2-Server zu senden und zu warten auf die Ausführung aller von C2 bereitgestellten Powershell-Skripte.
Die besondere Art und Weise, wie Powersing zu seiner C2-Adresse gelangt, ist ziemlich einzigartig. Die Hacker hinterlassen Zeichenfolgen mit den Anfangsdaten zu verschiedenen öffentlichen Diensten wie Posts, Kommentaren, Bewertungen, Benutzerprofilen usw. Die Forscher entdeckten solche Nachrichten auf Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress und Imgur. Die Nutzung derart bekannter öffentlicher Dienste garantiert fast den Erfolg der anfänglichen Kommunikation aufgrund der Leichtigkeit, mit der sich der Verkehr in den normal erzeugten Verkehr einfügt, und der Schwierigkeit, auf die Unternehmen stoßen können, wenn sie sich entscheiden, die Plattformen auf die schwarze Liste zu setzen. Es gibt jedoch einen Nachteil für die Hacker, da das Entfernen ihrer Spuren nahezu unmöglich wird. Infolgedessen konnten die Forscher feststellen, dass die ersten Anzeichen einer Powersing-Aktivität bereits 2017 auftraten.
Verbindungen zwischen Poweringing und anderen Malware-Familien
Powersing besitzt einige besondere Eigenschaften, die nicht so häufig sind. Wenn sich herausstellt, dass eine andere Malware-Familie fast identische Attribute aufweist, entsteht eine plausible Hypothese, dass sie entweder von derselben Hacker-Gruppe entwickelt werden oder die Bedrohungsakteure sicherlich eng zusammenarbeiten. Bei Powersing wurden jedoch Ähnlichkeiten zwischen dem Unternehmen und zwei anderen Malware-Familien namens Janicab und Evilnum festgestellt.
Beginnen wir mit der Tatsache, dass alle drei über LNK-Dateien geliefert werden, die in Anhängen versteckt sind, die von Spear-Phishing-E-Mails verbreitet werden. Zugegeben, dies ist eine ziemlich verbreitete Taktik, aber alle drei erhalten ihre C2-Adressen auch über Dead-Drop-Resolver mit regulären Ausdrücken und fest codierten Sätzen. Schließlich gibt es Codeüberschneidungen zwischen diesen Malware-Bedrohungen, z. B. identische Namen für einige Variablen und Funktionen, obwohl sie in verschiedenen Codierungssprachen geschrieben sind.
