L'attore di APT DeathStalker attacca gli utenti in Germania e Svizzera. Target dell'attore: aziende del settore finanziario e legale. La nuova backdoor "PowerPepper" utilizza varie tecniche di offuscamento.
Si ritiene che ora DeathStalker, attore di Advanced Persistent Threat (APT), offra servizi di hacking per il noleggio per rubare informazioni commerciali riservate da società nei settori finanziario e legale. Gli esperti di Kaspersky hanno ora individuato una nuova attività dell'attore e scoperto una nuova tattica di impianto e consegna del malware: la backdoor di PowerPepper utilizza DNS su HTTPS come canale di comunicazione per nascondere la comunicazione dietro legittime query sul nome del server di controllo. Inoltre, PowerPepper utilizza varie tecniche di offuscamento come la steganografia.
Mirare in particolare alle PMI
DeathStalker è un giocatore APT molto insolito. Il gruppo, attivo almeno dal 2012, conduce campagne di spionaggio contro piccole e medie imprese come studi legali o rappresentanti del settore finanziario. A differenza di altri gruppi APT, DeathStalker non sembra essere motivato politicamente o cercare guadagni finanziari dalle società prese di mira. Piuttosto, i sostenitori agiscono come mercenari e offrono i loro servizi di hacking a pagamento.
I ricercatori di Kaspersky hanno ora scoperto una nuova campagna dannosa del gruppo che utilizza la backdoor PowerPepper. Come altri malware DeathStalker, PowerPepper viene in genere distribuito utilizzando e-mail di spear phishing, con i file dannosi che vengono consegnati all'interno del corpo dell'e-mail o all'interno di un collegamento dannoso. Per fare ciò, il gruppo ha utilizzato eventi internazionali, regolamenti sulle emissioni di CO2 o la pandemia di corona per convincere le proprie vittime ad aprire i documenti dannosi.
La steganografia come camuffamento
Il principale payload dannoso è occultato mediante la steganografia, che consente agli aggressori di nascondere i dati tra contenuti legittimi. Nel caso di PowerPepper, il codice dannoso viene incorporato in immagini apparentemente normali di felci o peperoni (vedere l'inglese "pepper" per la denominazione) e quindi estratto da uno script di caricamento. Successivamente, PowerPepper inizia a eseguire comandi shell remoti che riceve dagli attori di DeathStalker che mirano a rubare informazioni aziendali sensibili. Il malware può eseguire qualsiasi comando shell sul sistema di destinazione, inclusi quelli standard di ricognizione dei dati, come la raccolta di informazioni sull'utente e sui file del computer, l'esplorazione delle condivisioni di file di rete e il download di file binari aggiuntivi o la copia di contenuti in posizioni remote. I comandi vengono recuperati dal server di controllo utilizzando la comunicazione DNS su HTTPS, un metodo efficace per nascondere comunicazioni dannose dietro query legittime sul nome del server.
Maggiori informazioni su SecureList di Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/