Ugrupowanie cyberszpiegowskie DeathStalker i jego zestaw narzędzi

Ugrupowanie DeathStalker atakuje stosunkowo małe firmy i ich tajemnice handlowe.

Nasi eksperci zidentyfikowali ugrupowanie cyberprzestępcze, które specjalizuje się w kradzieży tajemnic handlowych. Sądząc po dotychczasowych celach, ugrupowanie jest zainteresowane przede wszystkim firmami z branży technologii finansowych, kancelariami prawniczymi i doradcami finansowymi, jednak w co najmniej jednym przypadku zaatakowana została również jednostka dyplomatyczna.

Taki dobór celów może wskazywać, że ugrupowanie to, któremu nadaliśmy nazwę kodową DeathStalker, albo poszukuje konkretnych informacji na sprzedaż, albo oferuje usługę „ataku na żądanie”. Mówiąc wprost, ugrupowanie to można wynająć.

Grupa DeathStalker jest aktywna co najmniej od roku 2018, być może rozpoczęła swoją działalność już w 2012 r. Uwagę naszych ekspertów przyciągnęło korzystanie przez nią implantu Powersing. Podobne metody wykorzystywane były również w najnowszych operacjach.

Przebieg ataku

Najpierw przestępcy przenikali do sieci ofiary dzięki zastosowaniu phishingu ukierunkowanego. Następnie wysyłali do pracownika organizacji szkodliwy plik LNK zamaskowany pod postacią dokumentu. Plik był skrótem, który uruchamiał systemowy interpreter wiersza poleceń, cmd.exe, i używał go do uruchomienia szkodliwego skryptu. Ofiara otwierała nic nieznaczący dokument w formacie PDF, DOC lub DOCX, który wyglądał jak zwykły plik.

Co ciekawe, szkodliwy kod nie zawierał adresu serwera kontroli — w zamian program uzyskiwał dostęp do posta, który był opublikowany w publicznej platformie, gdzie odczytywał ciąg znaków, które na pierwszy rzut oka nie miały znaczenia. W rzeczywistości była to zaszyfrowana informacja aktywująca kolejny etap ataku. Taktyka ta jest znana jako dead drop resolver.

Następnie atakujący przejmowali kontrolę nad komputerem, umieszczali szkodliwy skrót w folderze automatycznego uruchamiania (aby nadal działał on w systemie) i łączyli się z prawdziwym serwerem kontroli (po odkodowaniu jego adresu z czegoś, co wydawało się kolejnym losowym ciągiem opublikowanym na legalnej stronie internetowej).

Zasadniczo implant Powersing wykonuje dwa zadania: okresowo wykonuje zrzuty ekranu na komputerze ofiary i wysyła je do serwera kontroli, a także uruchamia dodatkowe skrypty Powershell,  które są pobrane z serwera kontroli. Jego celem jest przedostanie się na komputer ofiary w celu uruchomienia dodatkowych narzędzi.

Sposoby oszukiwania mechanizmów zabezpieczających

Na wszystkich etapach ten szkodliwy program używa różnych sposobów, aby ominąć technologie zabezpieczające, a wybrana metoda zależy od celu. Co więcej, po rozpoznaniu rozwiązania antywirusowego na komputerze docelowym szkodliwy program może zmienić taktykę lub nawet wyłączyć się. Według naszych ekspertów cyberprzestępcy analizują cel i dostosowują swoje skrypty do każdego ataku.

Jednak najciekawszą techniką stosowaną przez ugrupowanie DeathStalker jest używanie serwisów publicznych jako mechanizmu dead-drop-resolver. Serwisy te umożliwiają przechowywanie zaszyfrowanych informacji pod stałym adresem w postaci publicznie dostępnych postów, komentarzy, profili użytkowników i opisów treści. Posty te mogą wyglądać następująco:

W ten sposób atakujący próbują ukryć początek komunikacji z serwerem kontroli, dzięki czemu mechanizmy zabezpieczające myślą, że ktoś uzyskał dostęp do stron publicznych. Nasi eksperci znaleźli przypadki, w których atakujący użyli do tego celu stron internetowych należących do Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube i WordPress (lista ta nie jest oczywiście kompletna). Tak czy inaczej, firmy raczej nie blokują dostępu do takich serwisów.

Więcej informacji na temat możliwego powiązania między ugrupowaniem DeathStalker a szkodliwymi programami Janicab i Evilnum, jak również pełen opis techniczny Powersing zawierający oznaki infekcji można znaleźć w serwisie Securelist.

Jak ochronić swoją firmę przed zagrożeniem DeathStalker

Metody i narzędzia stosowane przez to ugrupowanie dobrze ilustrują, jakie zagrożenia czyhają nawet na małe firmy. Oczywiście grupa ta nie jest aktorem APT, a także nie używa żadnych szczególnie skomplikowanych sztuczek. Jednak stosowane przez nią narzędzia są tak skonstruowane, aby omijać wiele rozwiązań zabezpieczających. Nasi eksperci przygotowali kilka wskazówek pozwalających zachować bezpieczeństwo:

  • Zwracaj szczególną uwagę na procesy, które są uruchomione przez interpretery języka skryptowego, w szczególności powershell.exe i cscript.exe. Jeśli ich nie potrzebujesz, możesz je wyłączyć.
  • Uważaj na ataki, w których pliki LNK są rozsyłane w wiadomościach poczty e-mail.
  • Używaj zaawansowanych technologii zabezpieczających, w tym rozwiązań klasy EDR.

Firma Kaspersky ma w swojej ofercie zintegrowane rozwiązanie, które może przejąć funkcje zarówno Endpoint Protection Platform (EPP), jak i Endpoint Detection and Response (EDR). Zainteresowane osoby zapraszamy na tę stronę.

Porady