DeathStalker ohrožuje malé a střední firmy

Společnost Kaspersky zveřejnila detailní zprávu o aktivitách žoldácké hackerské APT skupiny DeathStalker. Ta od roku 2012 provádí úspěšné kyberšpionážní útoky na malé a střední firmy z oblasti finančnictví. Nejnovější zjištění poukazují na globální dosah této skupiny, kdy se jejími oběťmi staly firmy z Evropy nebo Latinské Ameriky.

Zatímco se do středu pozornosti nejčastěji dostávají státem podporovaní hackeři a jejich sofistikované útoky, kyberzločinecké aktivity proti malým a středním firmám zůstávají často bez povšimnutí. Přitom jsou velmi časté a spadají do nich útoky ransomwarem, krádeže dat nebo komerční špionáž. Napadené organizace většinou utrpí velké finanční ztráty, zastavení provozu nebo poškození pověsti. Za útoky většinou stojí středně pokročilí malwaroví hackeři nebo skupiny nájemných kyberzločinců, tak jako je tomu v případě DeathStalker. Tuto skupinu sledují odborníci z Kaspersky už od roku 2018.

DeathStalker je unikátní kyberzločinecká skupina zaměřující se primárně na kyberšpionáž advokátních kanceláří a firem z finančního sektoru. Vyznačuje se především velkou schopností adaptace a používáním iterativního rychlého přístupu ve vývoji softwaru, který jim umožňuje provádět efektivní kampaně.

Analýza umožnila odborníkům propojit aktivity skupiny DeathStalker se třemi malwarovými rodinami – Powersing, Evilnum a Janicab. Rodinu Powersing sledují odborníci z Kaspersky od roku 2018, ostatní dvě odhalili další poskytovatelé kyberbezpečnostních služeb. Analýza podobností kódu a viktimologie mezi třemi malwarovými rodinami umožnila odborníkům potvrdit jejich vzájemné propojení se střední mírou jistoty.

Taktika, techniky a postupy skupiny se v průběhu let takřka nezměnily: spoléhají se na rozesílání spear-phishingových e-mailů, které obsahují škodlivé soubory. Když uživatel otevře obdrženého zástupce, spustí se škodlivý skript a stáhne další komponenty z internetu. Díky tomu získají útočníci kontrolu nad zařízením oběti.

Powersing je Power-Shellový implantát, který byl detekován jako první malware pocházející od této skupiny. Poté, co dojde k infikování zařízení uživatele, dokáže malware pravidelně pořizovat snímky obrazovky a provádět libovolné Powershellové skripty. Použitím alternativních metod persistence v návaznosti na detekovaných bezpečnostních řešeních, která jsou spuštěná na napadeném zařízení, se malware může vyhnout detekci. Díky tomu může skupina před každou kampaní udělat detekční testy a na základě jejich výsledků uzpůsobit skripty.

V kampaních využívajících Powersing používá skupina také známou veřejnou službu, díky níž splyne backdoor komunikace s legitimním síťovým přenosem, čímž se minimalizuje šance obránců zablokovat tento provoz. Díky dead-drop resolverům (informační hosts, které poukazují na další C&C infrastrukturu) umístěným na různých legitimních sociálních sítích, blozích či messengerech, se může skupina vyhnout detekci a rychle ukončit kampaň.

Aktivity skupiny DeathStalker byly detekovány po celém světě. Škodlivá činnost spojená s Powersing malwarovou rodinou byla odhalena v Argentině, Číně, Kypru, Izraeli, Libanonu, Švýcarsku, Taiwanu, Turecku, Velké Británii a Spojených arabských emirátech. Kaspersky také vypátrala oběti malwarové rodiny Evilnum na Kypru, v Indii, Libanonu, Rusku a Spojených arabských emirátech. Podrobnější informace o identifikátorech napadení (IOC) včetně hashů a C2 serverů vztahujících se k této skupině můžete najít na stránce Kaspersky Threat Intelligence Portal.

„DeathStalker je ukázkovým příkladem kyberzločinecké skupiny, před kterou se musí mít soukromé firmy na pozoru. Nejvíce pozornosti je všeobecně věnováno velkým APT hackerským skupinám, ale DeathStalker nám připomíná, že by se o svoji bezpečnost měly zajímat i menší firmy. Na základě neustále vyvíjené činnosti hackerů se navíc dá očekávat, že v útocích budou pokračovat. Proto by se malé a střední firmy měly zaměřit na zlepšení své kybernetické ochrany a na školení svých zaměstnanců,“ upozorňuje Ivan Kwiatkowski, odborník na kybernetickou bezpečnost z týmu GReAT společnosti Kaspersky.

Celý report o aktivitách skupiny DeathStalker je dostupný na blogu Securelist. (1.9.2020)