L'acteur APT DeathStalker attaque des utilisateurs en Allemagne et en Suisse. Cible de l'acteur : entreprises du secteur financier et juridique. La nouvelle porte dérobée "PowerPepper" utilise diverses techniques d'obscurcissement.
L'acteur de la menace persistante avancée (APT) DeathStalker est désormais soupçonné d'offrir des services de piratage pour compte d'autrui pour voler des informations commerciales confidentielles à des entreprises des secteurs financier et juridique. Les experts de Kaspersky ont maintenant repéré une nouvelle activité de l'acteur et découvert une nouvelle tactique d'implantation et de diffusion de logiciels malveillants : la porte dérobée PowerPepper utilise DNS sur HTTPS comme canal de communication pour masquer la communication derrière les requêtes légitimes de nom de serveur de contrôle. De plus, PowerPepper utilise diverses techniques d'obscurcissement telles que la stéganographie.
Cibler en particulier les PME
DeathStalker est un lecteur APT très inhabituel. Le groupe, actif depuis au moins 2012, mène des campagnes d'espionnage contre des petites et moyennes entreprises telles que des cabinets d'avocats ou des représentants du secteur financier. Contrairement à d'autres groupes APT, DeathStalker ne semble pas avoir de motivation politique ou rechercher un gain financier auprès des entreprises ciblées. Au lieu de cela, les bailleurs de fonds agissent comme des mercenaires et offrent leurs services de piratage moyennant des frais.
Les chercheurs de Kaspersky ont maintenant découvert une nouvelle campagne malveillante du groupe utilisant la porte dérobée PowerPepper. Comme les autres logiciels malveillants DeathStalker, PowerPepper est généralement distribué à l'aide d'e-mails de phishing, les fichiers malveillants étant livrés dans le corps de l'e-mail ou dans un lien malveillant. Pour ce faire, le groupe a utilisé les événements internationaux, la réglementation sur les émissions de CO2 ou la pandémie corona pour amener leurs victimes à ouvrir les documents nuisibles.
La stéganographie comme camouflage
La principale charge utile malveillante est masquée à l'aide de la stéganographie, ce qui permet aux attaquants de dissimuler des données au milieu d'un contenu légitime. Dans le cas de PowerPepper, le code malveillant est intégré dans des images apparemment normales de fougères ou de poivrons (voir anglais "pepper" pour les nommer) puis extrait par un script de chargement. Après cela, PowerPepper commence à exécuter les commandes shell distantes qu'il reçoit des acteurs DeathStalker qui visent à voler des informations commerciales sensibles. Le logiciel malveillant peut exécuter n'importe quelle commande shell sur le système cible, y compris les commandes de reconnaissance de données standard, telles que la collecte d'informations sur les utilisateurs et les fichiers de l'ordinateur, la navigation dans les partages de fichiers réseau et le téléchargement de fichiers binaires supplémentaires ou la copie de contenu vers des emplacements distants. Les commandes sont extraites du serveur de contrôle à l'aide de la communication DNS sur HTTPS - une méthode efficace pour masquer les communications malveillantes derrière des requêtes de nom de serveur légitimes.
En savoir plus sur la SecureList de Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/