Актор APT DeathStalker атакує користувачів у Німеччині та Швейцарії. Ціль актора: компанії фінансового та юридичного сектору. Новий бекдор «PowerPepper» використовує різні методи обфускації.
Вважається, що DeathStalker, учасник розширеної стійкої загрози (APT), пропонує послуги хакерства за наймом для викрадення конфіденційної бізнес-інформації компаній у фінансовому та юридичному секторах. Фахівці Касперського помітили нову активність актора та виявили нову тактику імплантації та доставки зловмисного програмного забезпечення: бекдор PowerPepper використовує DNS через HTTPS як канал зв’язку, щоб приховати зв’язок за законними запитами імен керуючого сервера. Крім того, PowerPepper використовує різні методи обфускації, такі як стеганографія.
Особливо націлені на МСП
DeathStalker - дуже незвичайний гравець APT. Група, яка діє принаймні з 2012 року, проводить шпигунські кампанії проти малого та середнього бізнесу, наприклад юридичних фірм або представників фінансового сектора. На відміну від інших груп APT, DeathStalker не виглядає політично вмотивованим або шукає фінансової вигоди від цільових компаній. Натомість спонсори діють як найманці та пропонують свої хакерські послуги за певну плату.
Дослідники Касперського виявили нову зловмисну кампанію групи, яка використовує бекдор PowerPepper. Як і інше зловмисне програмне забезпечення DeathStalker, PowerPepper зазвичай розповсюджується за допомогою фішингових електронних листів, при цьому шкідливі файли доставляються в тілі електронної пошти або за шкідливим посиланням. Для цього група використовувала міжнародні події, правила щодо викидів CO2 або пандемію коронавируса, щоб змусити своїх жертв відкрити шкідливі документи.
Стеганографія як камуфляж
Основне зловмисне навантаження маскується за допомогою стеганографії, що дозволяє зловмисникам приховувати дані серед законного вмісту. У випадку PowerPepper зловмисний код вбудовується в начебто звичайні зображення папороті чи перцю (див. англійське «pepper» для назви), а потім витягується за допомогою сценарію завантажувача. Після цього PowerPepper починає виконувати віддалені команди оболонки, які він отримує від акторів DeathStalker, які спрямовані на викрадення конфіденційної бізнес-інформації. Зловмисне програмне забезпечення може виконувати будь-яку команду оболонки в цільовій системі, включно зі стандартними командами розвідки даних, як-от збір інформації про користувача комп’ютера та файли, перегляд спільних файлів у мережі та завантаження додаткових двійкових файлів або копіювання вмісту у віддалені місця. Команди отримуються з контрольного сервера за допомогою зв’язку DNS через HTTPS – ефективного методу приховування зловмисного зв’язку за законними запитами імені сервера.
Докладніше читайте в SecureList Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/