Les experts de Kaspersky constatent que le groupe APT DeathStalker espionne notamment les PME suisses. Le Groupe APT vise d'autres entreprises de taille moyenne dans le monde entier. Les victimes se trouvent souvent dans le secteur financier et dans les cabinets d'avocats.
Le groupe APT DeathStalker espionne les petites et moyennes entreprises du secteur financier depuis au moins 2012. Les enquêtes récentes de Kaspersky montrent que DeathStalker a ciblé des entreprises en Suisse et dans le monde.
DeathStalker se spécialise spécifiquement dans le cyberespionnage contre les cabinets d'avocats et les organisations du secteur financier. L'acteur de la menace est hautement adaptable et se caractérise par une approche itérative, rapide et flexible de la conception de logiciels. C'est ainsi que DeathStalker peut mener efficacement des campagnes.
Le spectre d'activité individuel rend la détection difficile
Les experts de Kaspersky-Kaspersky ont désormais pu lier les activités de DeathStalker aux trois familles de malwares Powersing, Evilnum et Janicab, prouvant le large éventail d'activités du groupe depuis au moins 2012. Alors que Kaspersky a pu identifier Powersing en 2018, des découvertes sur Evilnum et Janicab ont été rapportées par d'autres fournisseurs de cybersécurité. L'analyse des similitudes de code et de victimologie entre les trois familles de malwares a permis de les lier avec une probabilité moyenne.
Les tactiques, les techniques et le mode opératoire du groupe sont restés inchangés au fil des ans : il utilise des e-mails de harponnage personnalisés pour livrer des archives contenant des fichiers malveillants. Si un utilisateur clique sur le raccourci, un script malveillant est exécuté et télécharge des composants supplémentaires depuis Internet. Cela permet aux attaquants de prendre le contrôle de l'appareil infecté.
DeathStalker utilise des attaques puissantes
Powersing, un implant basé sur Power Shell, a été le premier malware pouvant être attribué à cet acteur menaçant. Une fois que l'ordinateur d'une victime a été infecté, le logiciel malveillant peut prendre des captures d'écran et exécuter des scripts powershell arbitraires. Avec des méthodes de persistance alternatives adaptées individuellement à la solution de sécurité utilisée sur un appareil infecté, le logiciel malveillant échappe à la détection. DeathStalker l'utilise pour exécuter des tests de détection avant chaque campagne et mettre à jour les scripts en conséquence.
Pour alimenter les attaques, DeathStalker utilise également un service public bien connu pour intégrer la communication initiale de la porte dérobée au trafic réseau légitime. Cela limite effectivement la possibilité d'entraver une telle opération. En utilisant des résolveurs de dead-drop - des tonnes d'informations pointant vers une infrastructure de commande et de contrôle supplémentaire placée sur une variété de médias sociaux légitimes, de blogs et de services de messagerie - DeathStalker a pu échapper à la détection et lancer ses propres campagnes rapidement finalisées. Une fois infectées, les victimes contactent et sont redirigées par ces résolveurs, gardant la chaîne de communication cachée.
Entreprises du monde entier touchées par DeathStalker
Des actions de DeathStalker ont été détectées dans le monde entier. L'activité Powering a été identifiée en Argentine, en Chine, à Chypre, en Israël, au Liban, en Suisse, à Taïwan, en Turquie, au Royaume-Uni et aux Émirats arabes unis. Kaspersky a également trouvé des victimes d'Evilnum à Chypre, en Inde, au Liban, en Russie et aux Émirats arabes unis. Des informations détaillées sur les indicateurs de compromission liés à ce groupe - y compris les hachages de fichiers et les serveurs C2 - peuvent être obtenues via le portail Kaspersky Threat Intelligence [2].
"DeathStalker est un excellent exemple d'acteur menaçant contre lequel les organisations du secteur privé doivent se défendre", a déclaré Ivan Kwiatkowski, chercheur en sécurité chez Kaspersky. "Alors que nous nous concentrons souvent sur les activités des groupes APT, DeathStalker nous rappelle que même les organisations qui ne sont pas traditionnellement les plus soucieuses de la sécurité doivent savoir qu'elles peuvent être ciblées. De plus, sur la base d'une activité continue, nous prévoyons que DeathStalker continuera d'être une menace pour les organisations du monde entier grâce à l'utilisation de nouveaux outils. Cet acteur est une preuve supplémentaire que même les petites et moyennes entreprises doivent investir dans la formation à la sécurité et à la sensibilisation. Pour rester protégés contre DeathStalker, nous conseillons aux organisations de désactiver la possibilité d'utiliser des langages de script tels que powershell.exe et cscript.exe dans la mesure du possible. Nous recommandons également que les futures formations de sensibilisation et évaluations des produits de sécurité incluent des chaînes d'infection basées sur des fichiers LNK (raccourcis).
Consultez la SecureList de Kaspersky.com pour plus d'informations
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/