Kaspersky の専門家は、APT グループ DeathStalker が特にスイスの中小企業をスパイしていると報告しています。 APT グループは、世界中に目を向けている他の中規模企業を持っています。 被害者は、金融業界や法律事務所でよく見られます。
APT グループ DeathStalker は、少なくとも 2012 年以来、金融セクターの中小企業をスパイしてきました。 Kaspersky の最近の調査によると、DeathStalker はスイスおよび世界中の企業を標的にしていました。
DeathStalker は、金融部門の法律事務所や組織に対するサイバースパイ活動を専門としています。 脅威アクターは適応性が高く、ソフトウェア設計に対する反復的で高速かつ柔軟なアプローチに従うことを特徴としています。 これが、DeathStalker がキャンペーンを効果的に実施する方法です。
個々の活動スペクトルが検出を困難にする
Kaspersky-Kaspersky の専門家は、DeathStalker の活動を Powersing、Evilnum、および Janicab の 2012 つのマルウェア ファミリに関連付けることができるようになり、少なくとも 2018 年以降、このグループの活動が広範囲に及ぶことを証明しました。 Kaspersky は XNUMX 年に Powersing を特定できましたが、Evilnum と Janicab に関する調査結果は他のサイバーセキュリティ ベンダーから報告されました。 XNUMX つのマルウェア ファミリ間のコードの類似性と被害者を分析した結果、中程度の確率でそれらを関連付けることができました。
このグループの戦術、手法、手口は何年も変わっていません。カスタマイズされたスピア フィッシング メールを使用して、悪意のあるファイルを含むアーカイブを配信しています。 ユーザーがショートカットをクリックすると、悪意のあるスクリプトが実行され、インターネットから追加のコンポーネントがダウンロードされます。 これにより、攻撃者は感染したデバイスを制御できます。
デスストーカーは強力な攻撃を使用します
Power Shell ベースのインプラントである Powersing は、この攻撃者によるものと考えられる最初のマルウェアです。 被害者のコンピュータが感染すると、マルウェアはスクリーンショットを撮り、任意の PowerShell スクリプトを実行できます。 感染したデバイスで使用されるセキュリティ ソリューションに合わせて個別に調整された代替の永続化方法を使用して、マルウェアは検出を回避します。 DeathStalker はこれを使用して、各キャンペーンの前に検出テストを実行し、それに応じてスクリプトを更新します。
攻撃を強化する際に、DeathStalker はよく知られた公共サービスも使用して、最初のバックドア通信を正当なネットワーク トラフィックと統合します。 これにより、そのような操作を妨げる可能性が効果的に制限されます。 デッドドロップ リゾルバー (さまざまな正当なソーシャル メディア、ブログ、メッセージング サービスに配置された追加のコマンド アンド コントロール インフラストラクチャを指す一連の情報) を採用することで、DeathStalker は検出を回避し、独自のキャンペーンを開始して迅速に終了させることができました。 感染すると、被害者はこれらのリゾルバーに連絡してリダイレクトされ、通信チェーンが隠されます。
DeathStalker の影響を受ける世界中の企業
DeathStalker のアクションは世界中で検出されています。 アルゼンチン、中国、キプロス、イスラエル、レバノン、スイス、台湾、トルコ、英国、アラブ首長国連邦で活動が確認されています。 Kaspersky は、キプロス、インド、レバノン、ロシア、アラブ首長国連邦でも Evilnum の被害者を発見しました。 ファイル ハッシュや C2 サーバーなど、このグループに関連する侵害の痕跡に関する詳細情報は、Kaspersky Threat Intelligence Portal [2] から入手できます。
Kaspersky のセキュリティ研究者 Ivan Kwiatkowski は次のように述べています。 「私たちはしばしば APT グループの活動に焦点を当てていますが、DeathStalker は、これまで最もセキュリティを意識していなかった組織でさえ、標的にされる可能性があることを知る必要があることを思い出させてくれます。 さらに、継続的な活動により、DeathStalker は新しいツールの使用を通じて世界中の組織に対する脅威であり続けると予想されます。 このプレーヤーは、中小企業であっても安全と意識向上のトレーニングに投資する必要があることをさらに証明しています。 DeathStalker からの保護を維持するために、可能な限り powershell.exe や cscript.exe などのスクリプト言語を使用する機能を無効にすることを組織にアドバイスします。 また、今後の意識向上トレーニングとセキュリティ製品の評価には、LNK (ショートカット) ファイルに基づく感染チェーンを含めることをお勧めします。」
詳細については、Kaspersky.com の SecureList を参照してください。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。