DeathStalker APT

DeathStalker est le nom donné à un groupe de pirates informatiques Advanced Persistent Threat (APT) qui, selon les chercheurs, opèrent en tant que mercenaires ou offrent des services de piratage contre rémunération. La base de cette analyse est les caractéristiques particulières affichées dans les opérations attribuées au groupe. Contrairement à ce qui est considéré comme le comportement cybercriminel typique, DeathStalker n'infecte pas ses victimes avec un ransomware et ne collecte pas les informations d'identification bancaires ou de carte de crédit / débit, des signes clairs que les pirates ne recherchent pas un gain financier de leurs victimes. Au lieu de cela, DeathStalker semble s'être spécialisé dans l'exfiltration de données à partir d'un éventail très restreint de victimes. Hormis quelques exceptions singulières, comme l'attaque d'une entité diplomatique, le groupe s'en prend systématiquement aux entreprises privées opérant dans le secteur financier, telles que les cabinets de conseil, les entreprises technologiques, les cabinets d'avocats, etc. Quant à la répartition géographique, en suivant le trafic généré par l'un des principaux outils de DeathStalker - une menace de malware appelée Powersing, des victimes de DeathStalker ont été découvertes en Chine, à Chypre, en Israël, en Argentine, au Liban, en Suisse, en Turquie, à Taiwan, au Royaume-Uni et les Émirats arabes unis.

Résolveurs de Spear-Phishing et Dead Drop

Un examen attentif de la chaîne d'attaque de DeathStalker APT révèle que les pirates fournissent leur outil principal via des e-mails de spear-phishing contenant des pièces jointes compromises. Les fichiers joints sont déguisés en documents ou archives de l'Explorateur, mais contiennent à la place un fichier LNK corrompu. Lorsque l'utilisateur sans méfiance les exécute, il lance une chaîne complexe à plusieurs étages. Au cours de la phase initiale, un document leurre est affiché à l'utilisateur pour tenter de masquer toute l'activité qui se déroule en arrière-plan et éveiller le moins de soupçons possible. Un mécanisme de persistance est établi en créant un raccourci dans le dossier de démarrage de Windows qui exécute un script de démarrage VBE. La charge utile réelle du malware est abandonnée au cours de la deuxième étape de l'attaque. Il se connecte à un résolveur de zone morte pour obtenir la véritable adresse du serveur Command-and-Control (C&C, C2). Une fois la communication établie, Powersing n'est responsable que de deux choses: prendre des captures d'écran du système, les envoyer immédiatement au serveur C2 et attendre l'exécution des scripts Powershell fournis par le C2.

La manière particulière dont Powersing arrive à son adresse C2 est tout à fait unique. Les pirates laissent des chaînes contenant les données initiales sur divers services publics sous forme de messages, commentaires, avis, profils d'utilisateurs, etc. Les chercheurs ont découvert de tels messages sur Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress et Imgur. L'utilisation de tels services publics bien connus garantit presque le succès de la communication initiale en raison de la facilité avec laquelle le trafic se confond avec le trafic normalement généré et de la difficulté que les entreprises peuvent rencontrer si elles décident de mettre les plates-formes sur la liste noire. Il y a cependant un inconvénient pour les pirates informatiques, car il devient presque impossible de supprimer leurs traces. En conséquence, les chercheurs ont pu déterminer que les premiers signes d'activité de Powersing remontaient à 2017.

Connexions entre Powering et d'autres familles de logiciels malveillants

Le pouvoir possède des caractéristiques particulières qui ne sont pas si courantes. Ainsi, lorsqu'une autre famille de logiciels malveillants s'avère avoir des attributs presque identiques, cela crée une hypothèse plausible selon laquelle soit ils sont développés par le même groupe de pirates informatiques, soit les acteurs de la menace travaillent certainement en étroite collaboration. Cependant, en ce qui concerne Powersing, des similitudes ont été trouvées entre celui-ci et deux autres familles de logiciels malveillants appelées Janicab et Evilnum.

Commençons par le fait que tous les trois sont livrés via des fichiers LNK cachés dans des pièces jointes propagées par des e-mails de spear-phishing. Certes, c'est une tactique assez courante, mais tous les trois obtiennent également leurs adresses C2 via des résolveurs morts-vivants avec des expressions régulières et des phrases codées en dur. Enfin, il existe des chevauchements de codes entre ces menaces de logiciels malveillants, tels que des noms identiques pour certaines variables et fonctions bien qu'ils soient écrits dans des langages de codage différents.

Tendance

Le plus regardé

Chargement...