RTV

Hakerzy „DeathStalker” są (prawdopodobnie) starsi i bardziej płodni, niż myśleliśmy

Pień fotografia postaci z kapturem, ukrywając się za kodem komputera.

W 2018 roku badacze z firmy Kaspersky Lab zajmującej się bezpieczeństwem zaczęli śledzić „DeathStalker”, ich nazwę dla grupy hakerów do wynajęcia, która wykorzystywała proste, ale skuteczne złośliwe oprogramowanie do szpiegowania kancelarii prawnych i firm z branży finansowej. Teraz naukowcy połączyli grupę z dwoma innymi złośliwymi programami, w tym jednym pochodzącym co najmniej z 2012 roku.

DeathStalker zwrócił uwagę Kaspersky na szkodliwe oprogramowanie, które inny badacz nazwał „Powersing”. Złośliwe oprogramowanie ma swoją nazwę od 900-liniowego skryptu PowerShell, którego napastnicy dołożyli wszelkich starań, aby zaciemnić oprogramowanie antywirusowe.

Ataki rozpoczęły się od wiadomości e-mail typu spear phishing z załącznikami, które wyglądały jak dokumenty, ale – poprzez sztuczkę z użyciem plików LNK – były w rzeczywistości złośliwymi skryptami. Aby nie wzbudzić podejrzeń, Powersing wyświetlał dokument wabika, gdy tylko cel kliknął na załącznik.

Oprócz sztuczki LNK, Powersing próbował również odrzucić AV za pomocą „resolwerów martwego kropli”. W efekcie były to posty w mediach społecznościowych, których złośliwe oprogramowanie użyło do potajemnego zebrania kluczowych informacji, których potrzebował, takich jak to, do jakich serwerów internetowych ma uzyskać dostęp i jakich kluczy powinno użyć do odszyfrowania zawartości. Poniższy tweet to tylko jeden z używanych przez niego programów rozpoznawania martwej kropli.

Kaspersky Lab

Pierwszy ciąg zawierał klucz AES do odszyfrowania kodu, który następnie znalazłby liczbę całkowitą zakodowaną w drugim ciągu. Następnie kod podzieliłby liczbę całkowitą przez stałą kontrolowaną przez atakującego, aby dotrzeć do adresu IP, pod którym miał zgłosić się zainfekowany komputer.

Internet nigdy nie zapomina

„Poleganie na dobrze znanych usługach publicznych umożliwia cyberprzestępcom łączenie początkowej komunikacji typu backdoor z legalnym ruchem sieciowym” – napisali w poniedziałek badacze z Kaspersky Lab Ivan Kwiatkowski, Pierre Delcher i Maher Yamout. Kontynuowali:

Ogranicza również to, co obrońcy mogą zrobić, aby utrudnić ich działania, ponieważ platform tych zasadniczo nie można zablokować na poziomie firmy, a usuwanie z nich treści może być trudnym i długotrwałym procesem. Ma to jednak swoją cenę: internet nigdy nie zapomina, a cyberprzestępcom trudno jest również usunąć ślady swojej działalności. Dzięki danym zindeksowanym lub zarchiwizowanym przez wyszukiwarki szacujemy, że Powersing został po raz pierwszy użyty około sierpnia 2017 roku.

Badacz, który ukuł nazwę Powersing, spekulował, że złośliwe oprogramowanie może być powiązane z inną rodziną szkodliwego oprogramowania znaną jako Janicab, której początki sięgają co najmniej 2012 r. Badacze z Kaspersky Lab przeanalizowali próbkę Janicab opublikowaną w 2015 r. Przez dostawcę AV, firmę F-Secure.

Odkryli, że Janicab również używał tych samych sztuczek LNK i dokumentów-wabików, aby uzyskać dostęp do aplikacji poleceń komputera. Zauważyli również, że Janicab nawiązał połączenia z niepublicznym filmem na YouTube, który wykorzystywał tę samą matematykę całkowitą do uzyskania informacji o serwerze kontrolnym. Inne podobieństwa: oba fragmenty złośliwego oprogramowania okresowo wysyłały zrzuty ekranu przechwycone z komputerów stacjonarnych, oba umożliwiały wykonywanie skryptów utworzonych przez atakującego i oba wykorzystywały dokładnie tę samą listę adresów MAC do wykrywania maszyn wirtualnych, których badacze bezpieczeństwa mogą używać w inżynierii wstecznej.

Wejdź do Evilnum

Następnie badacze z Kaspersky Lab przyjrzeli się nowszej rodzinie złośliwego oprogramowania znanej jako Evilnum, której dostawca oprogramowania antywirusowego Eset opisał w zeszłym miesiącu, a który zgłosił kolejny łańcuch infekcji oparty na LNK. Kaspersky Lab odkrył, że użył tego samego mechanizmu rozpoznawania martwego kropli i sztuczek matematycznych z liczbami całkowitymi do uzyskania lokalizacji serwera sterującego. Inne podobieństwa to zmienne o podobnych lub identycznych nazwach, nakładające się cele.

Poniedziałkowy post podsumował podobieństwa w następujący sposób:

  • Wszystkie trzy są rozpowszechniane za pośrednictwem plików LNK zawartych w archiwach dostarczanych za pośrednictwem spear-phishingu
  • Uzyskują informacje C&C z resolverów typu dead drop, używając wyrażeń regularnych i zakodowanych zdań
  • Adresy IP są uzyskiwane w postaci liczb całkowitych, które są następnie dzielone przez zakodowaną stałą przed konwersją
  • Niewielkie nakładanie się kodów między trzema rodzinami złośliwego oprogramowania może wskazywać, że zostały one opracowane przez ten sam zespół lub w grupie, która ma takie same praktyki tworzenia oprogramowania
  • Wszystkie trzy rodziny złośliwego oprogramowania mają możliwości przechwytywania zrzutów ekranu. Chociaż samo w sobie nie jest oryginalne, zwykle nie jest to część priorytetów rozwoju takich grup i może wskazywać na wspólną specyfikację projektu
  • Wreszcie, chociaż nie mamy zbyt wielu informacji na temat wiktymologii Janicab, zarówno Powersing, jak i Evilnum zajmują się wywiadem biznesowym, choć w różnych branżach. Oba zestawy działań są zgodne z hipotezą, że prowadzi je strój najemnika

Podobieństwa nie są bynajmniej dymiącym pistoletem, stwierdzili naukowcy, ale razem dają naukowcom „średnią pewność”, że Powersing, Janicab i Evilnum są obsługiwane przez tę samą grupę.

„W tym poście na blogu opisaliśmy nowoczesny łańcuch infekcji, który jest nadal aktywnie wykorzystywany i rozwijany przez agenta zagrożeń” – podsumowują naukowcy. „Nie zawiera żadnych innowacyjnych sztuczek ani wyrafinowanych metod, a niektóre elementy łańcucha mogą wydawać się niepotrzebnie zagmatwane. Jeśli jednak hipoteza jest słuszna, że ​​ta sama grupa obsługuje Janicab i Powersing, oznacza to, że stosują te same metodologie od 2012 roku. W świecie informacji nie ma bardziej „wypróbowanych i prawdziwych” niż to ”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook