Os especialistas da Kaspersky registram que o grupo APT DeathStalker está espionando as PME suíças em particular. O Grupo APT tem outras empresas de médio porte na mira em todo o mundo. As vítimas são freqüentemente encontradas no setor financeiro e entre escritórios de advocacia.
O DeathStalker, grupo da APT, espiona pequenas e médias empresas do setor financeiro desde pelo menos 2012. Investigações recentes da Kaspersky mostram que o DeathStalker tem como alvo empresas na Suíça e em todo o mundo.
DeathStalker é especializado especificamente em espionagem cibernética contra escritórios de advocacia e organizações do setor financeiro. O ator da ameaça é altamente adaptável e é caracterizado por seguir uma abordagem iterativa, rápida e flexível para o design de software. É assim que o DeathStalker pode efetivamente conduzir campanhas.
O espectro de atividade individual dificulta a detecção
Os especialistas da Kaspersky-Kaspersky agora conseguiram vincular as atividades do DeathStalker às três famílias de malware Powersing, Evilnum e Janicab, provando a ampla gama de atividades do grupo desde pelo menos 2012. Embora a Kaspersky tenha conseguido identificar o Powersing em 2018, as descobertas sobre Evilnum e Janicab foram relatadas por outros fornecedores de segurança cibernética. A análise de semelhanças de código e vitimologia entre as três famílias de malware tornou possível vinculá-los com uma probabilidade média.
As táticas, técnicas e modus operandi do grupo permaneceram inalterados ao longo dos anos: ele usa e-mails personalizados de spear phishing para entregar arquivos contendo arquivos maliciosos. Se um usuário clicar no atalho, um script malicioso será executado e baixará componentes adicionais da Internet. Isso permite que os invasores assumam o controle do dispositivo infectado.
DeathStalker usa ataques poderosos
Powersing, um implante baseado em Power Shell, foi o primeiro malware que pode ser atribuído a esse agente de ameaça. Depois que o computador da vítima é infectado, o malware pode fazer capturas de tela e executar scripts PowerShell arbitrários. Com métodos alternativos de persistência que são personalizados individualmente para a solução de segurança usada em um dispositivo infectado, o malware evita a detecção. DeathStalker o usa para executar testes de detecção antes de cada campanha e atualizar os scripts de acordo.
Ao potencializar ataques, o DeathStalker também usa um conhecido serviço público para integrar a comunicação backdoor inicial com o tráfego de rede legítimo. Isso efetivamente limita a possibilidade de impedir tal operação. Ao empregar resolvedores de dead-drop - resmas de informações apontando para infraestrutura adicional de comando e controle colocada em uma variedade de mídias sociais legítimas, blogs e serviços de mensagens - DeathStalker foi capaz de evitar a detecção e lançar suas próprias campanhas rapidamente finalizadas. Uma vez infectadas, as vítimas entram em contato e são redirecionadas por esses resolvedores, mantendo a cadeia de comunicação oculta.
Empresas em todo o mundo afetadas pelo DeathStalker
As ações do DeathStalker foram detectadas em todo o mundo. A atividade de powersing foi identificada na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos. A Kaspersky também encontrou vítimas do Evilnum em Chipre, Índia, Líbano, Rússia e Emirados Árabes Unidos. Informações detalhadas sobre indicadores de comprometimento relacionados a esse grupo - incluindo hashes de arquivo e servidores C2 - podem ser obtidas por meio do Kaspersky Threat Intelligence Portal [2].
"DeathStalker é um excelente exemplo de um ator de ameaça contra o qual as organizações do setor privado devem se defender", disse Ivan Kwiatkowski, pesquisador de segurança da Kaspersky. “Embora frequentemente nos concentremos nas atividades dos grupos APT, o DeathStalker nos lembra que mesmo as organizações que tradicionalmente não são as mais preocupadas com a segurança precisam saber que podem ser visadas. Além disso, devido à atividade contínua, prevemos que o DeathStalker continuará a ser uma ameaça para organizações em todo o mundo por meio do uso de novas ferramentas. Esse player é mais uma prova de que até as pequenas e médias empresas precisam investir em treinamentos de segurança e conscientização. Para permanecer protegido do DeathStalker, aconselhamos as organizações a desativar a capacidade de usar linguagens de script como powershell.exe e cscript.exe sempre que possível. Também recomendamos que futuros treinamentos de conscientização e avaliações de produtos de segurança incluam cadeias de infecção baseadas em arquivos LNK (atalho).”
Consulte a SecureList da Kaspersky.com para obter mais informações
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/