DeathStalker: detaljni pregled plaćeničke APT grupe koja špijunira mala i srednja preduzeća

Istraživači kompanije Kaspersky objavili su detaljan pregled DeathStalker grupe, ‘plaćeničke’ APT grupe koja bar od 2012. godine sprovodi efikasne špijunažne napade na mala i srednja preduzeća unutar finansijskog sektora. Najnovija otkrića ukazuju na to da je grupa targetirala kompanije širom sveta, od Evrope do Latinske Amerike, naglašavajući značaj koji sajber-bezbednosna zaštita ima za male i srednje organizacije.

Mada su akteri pretnji koje sponzoriše država i sofisticirani napadi uglavnom u centru pažnje, preduzeća se danas suočavaju sa čitavim nizom neposrednijih pretnji. One se kreću od napada ransomverom i curenja podataka do komercijalne špijunaže, i prouzrokuju ništa manje štete po operacije i reputaciju organizacija. Ove napade sprovode orkestratori malvera srednjeg nivoa, i ponekada grupe unajmljenih hakera, kao što je grupa DeathStalker, koju kompanija Kaspersky prati od 2018. godine.

DeathStalker je jedinstvena grupa pretnje čiji je glavni fokus sajber špijunaža pravnih firmi i organizacija unutar finansijskog sektora. Akter pretnji je izuzetno prilagodljiv i poznat po korišćenju učestalog brzog pristupa softverskom dizajnu, što im omogućava sprovođenje efikasnih kampanja.

Nedavno istraživanje je kompaniji Kaspersky omogućilo da poveže aktivnost DeathStalker grupe sa tri porodice malvera, Powersing, Evilnum i Janicab, što ukazuje na širinu aktivnosti koju grupa sprovodi barem od 2012. godine. Dok bezbednosni vendor prati grupu Powersing od 2018. godine, o ostalim dvema porodicama malvera su izvestili drugi bezbednosni vendori. Analiza sličnosti u kodu i viktimologije između tri porodice malvera omogućila je istraživačima da ih međusobno povežu sa pouzdanošću srednjeg nivoa.

Taktike, tehnike i procedure aktera pretnji godinama su ostale nepromenjene: oslanjaju se na prilagođene “spir fišing” i-mejlove kako bi dostavili arhive koje sadrže maliciozne fajlove. Kada korisnik klikne na prečicu, pokreće se maliciozna skripta i preuzimaju se dalje komponente interneta. Ovo napadačima omogućuje uspostavljanje kontrole nad mašinom žrtve.

Jedan od primera je korišćenje Powersing implanta baziranog na PowerShell-u koji predstavlja prvi detektovani malver ovog aktera pretnji. Kada je uređaj žrtve inficiran, malver može da snima periodične slike ekrana i da pokrene proizvoljne Powershell skripte. Korišćenjem alternativnih metoda istrajnosti u zavisnosti od bezbednosnog rešenja koje je detektovano na inficiranom uređaju, malver može da izbegne detekciju, signalizirajući sposobnost grupa da izvrše testove detekcije pre svake kampanje i da ažuriraju skripte u skladu sa poslednjim rezultatima.

U kampanjama u kojima se koristi Powersing, DeathStalker grupa takođe koristi dobro poznati javni servis kako bi kroz inicijalne bekdor komunikacije došla do legitimnog mrežnog saobraćaja, na taj način ograničavajući sposobnost branioca da spreče njene operacije. Korišćenjem ‘dead-drop’ rezolvera – hostova informacija koji ukazuju na dodatnu komandnu i kontrolnu infrastrukturu – koji se nalaze na raznim legitimnim društvenim mrežama, blogovima i uređajima za razmenu poruka, akter je mogao da izbegne detekciju i brzo okonča kampanju. Kada žrtve budu inficirane, one posežu ka njima i rezolveri ih preusmeravaju, na taj način krijući lanac komunikacije.

Primer ‘dead-drop’ rezolvera koji se nalazi na legitimnom javnom servisu

Aktivnost DeathStalker grupe je detektovana širom sveta, dodatno ukazujući na opseg njihovih operacija. Aktivnosti povezane za Powersing malverom identifikovane su u Argentini, Kini, na Kipru, u Izraelu, Libanu, Švajcarskoj, na Tajvanu, u Turskoj, Ujedinjenom Kraljevstvu i Ujedinjenim Arapskim Emiratima. Kompanija Kaspersky je takođe locirala žrtve Evilnum malvera na Kipru, u Indiji, Libanu, Rusiji, i Ujedinjenim Arapskim Emiratima. Detaljne informacije o indikatorima kompromitovanja povezanih sa ovom grupom, uključujući haševe fajlova i C2 servere, dostupne su na portalu Kaspersky Threat Intelligence Portal.

“DeathStalker grupa je pravi primer aktera pretnji od koga organizacije u privatnom sektoru moraju da se odbrane. Mada se najčešće fokusiramo na aktivnosti koje sprovode APT grupe, DeathStalker grupa nas podseća da organizacije koje tradicionalno ne obraćaju puno pažnje na bezbednost moraju da budu svesne toga da takođe mogu postati mete. Osim toga, sudeći po njihovoj konstantnoj aktivnosti, očekujemo da će DeathStalker grupa ostati pretnja, uz nove alate namenjene za izvršavanje uticaja na organizacije. Ovaj akter, u određenom smislu, predstavlja dokaz da male i srednje kompanije takođe moraju da ulažu u bezbednost i obuke u cilju podizanja svesti,” komentariše Ivan Kvijatkovski (Ivan Kwiatkowski), glavni istraživač bezbednosti unutar GReAT tima kompanije Kaspersky. “Kako bi ostale zaštićene od DeathStalker grupe, savetujemo organizacijama da onemoguće opciju korišćenja skriptnih jezika, kao što su powershell.exe i cscript.exe, kad god je to moguće. Takođe predlažemo da buduće obuke za podizanje svesti i procene bezbednosti uključuju lance inficiranja zasnovane na LNK (prečica) fajlovima.”

Kako biste izbegli da postanete žrtva targetiranih napada koje sprovode poznati ili nepoznati akteri pretnji, istraživači kompanije Kaspersky predlažu implementiranje sledećih mera:

  • Obezbedite vašem SOC timu pristup najnovijim informacija o pretnjama. Kaspersky Threat Intelligence Portal je jedinstveno mesto pristupa informacijama o pretnjama, koje pruža podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupljala više od 20 godina.
  • Postarajte se da je implementirana odgovarajuća endpoint zaštita, kao što je, na primer Integrated Endpoint Security solution kompanije Kaspersky. Rešenje kombinuje endpoint zaštitu sa sandbox i EDR funkcionalnošću, omogućujući efikasnu zaštitu od naprednih pretnji i momentalnu vidljivost malicioznih aktivnosti koje su detektovane na korporativnim krajnjim tačkama.
  • S obzirom na to da mnogi targetirani napadi počinju sa fišingom ili drugim tehnikama socijalnog inženjeringa, uvedite obuku za podizanje svesti o bezbednosti i razvijanje praktičnih veština – na primer kroz korišćenje platforme Kaspersky Automated Security Awareness Platform.