Фахівці Касперського зафіксували, що група APT DeathStalker шпигує, зокрема, за швейцарськими МСП. У центрі уваги APT Group є інші компанії середнього розміру по всьому світу. Жертв часто знаходять у фінансовій індустрії та серед юридичних фірм.
Група APT DeathStalker шпигує за малим і середнім бізнесом у фінансовому секторі принаймні з 2012 року. Недавні розслідування Kaspersky показують, що DeathStalker атакував компанії в Швейцарії та в усьому світі.
DeathStalker спеціалізується саме на кібершпигунстві проти юридичних фірм і організацій у фінансовому секторі. Суб’єкт загрози дуже адаптивний і характеризується дотриманням ітераційного, швидкого та гнучкого підходу до розробки програмного забезпечення. Ось як DeathStalker може ефективно проводити кампанії.
Індивідуальний спектр активності ускладнює виявлення
Тепер експерти Kaspersky-Kaspersky змогли пов’язати діяльність DeathStalker із трьома сімействами шкідливих програм Powersing, Evilnum і Janicab, що підтверджує широкий спектр діяльності групи принаймні з 2012 року. Хоча Kaspersky зміг ідентифікувати Powersing ще в 2018 році, про Evilnum і Janicab повідомили інші постачальники засобів кібербезпеки. Аналіз подібності коду та віктимології між трьома сімействами шкідливих програм дозволив із середньою ймовірністю зв’язати їх.
Тактика, методи та способи роботи групи залишаються незмінними протягом багатьох років: вона використовує налаштовані фішингові електронні листи для доставки архівів, що містять шкідливі файли. Якщо користувач натискає на ярлик, виконується шкідливий скрипт, який завантажує додаткові компоненти з Інтернету. Це дозволяє зловмисникам отримати контроль над зараженим пристроєм.
DeathStalker використовує потужні атаки
Powersing, імплантат на основі Power Shell, був першим зловмисним програмним забезпеченням, яке можна віднести до цього загрозливого актора. Після зараження комп’ютера жертви зловмисне програмне забезпечення може робити знімки екрана та запускати довільні сценарії PowerShell. За допомогою альтернативних методів стійкості, які індивідуально адаптовані до рішення безпеки, що використовується на зараженому пристрої, зловмисне програмне забезпечення ухиляється від виявлення. DeathStalker використовує його для запуску тестів виявлення перед кожною кампанією та відповідного оновлення сценаріїв.
У посиленні атак DeathStalker також використовує добре відому загальнодоступну службу для інтеграції початкового бекдор-зв’язку з легальним мережевим трафіком. Це фактично обмежує можливість перешкоджання такій операції. Застосовуючи «мертві» розв’язувачі — купи інформації, що вказують на додаткову інфраструктуру командування й контролю, розміщену в різноманітних легітимних соціальних мережах, блогах і службах обміну повідомленнями — DeathStalker вдалося уникнути виявлення та швидко запустити власні кампанії. Після зараження жертви контактують і перенаправляються цими резолверами, зберігаючи ланцюг зв’язку прихованим.
Компанії по всьому світу, які постраждали від DeathStalker
Дії DeathStalker були виявлені по всьому світу. Діяльність електроживлення була виявлена в Аргентині, Китаї, Кіпрі, Ізраїлі, Лівані, Швейцарії, Тайвані, Туреччині, Сполученому Королівстві та Об’єднаних Арабських Еміратах. Касперський також знайшов жертв Evilnum на Кіпрі, в Індії, Лівані, Росії та Об’єднаних Арабських Еміратах. Детальну інформацію про індикатори компрометації, пов’язані з цією групою, включаючи хеші файлів і сервери C2, можна отримати на порталі Kaspersky Threat Intelligence Portal [2].
«DeathStalker є яскравим прикладом загрози, від якої організації приватного сектора повинні захищатися», — сказав Іван Квятковський, дослідник безпеки Kaspersky. «Хоча ми часто зосереджуємось на діяльності груп APT, DeathStalker нагадує нам, що навіть організації, які традиційно не найбільше піклуються про безпеку, повинні знати, що вони можуть стати ціллю. Крім того, через продовження активності ми очікуємо, що DeathStalker і надалі буде загрозою для організацій у всьому світі через використання нових інструментів. Цей гравець є ще одним доказом того, що навіть малим і середнім підприємствам потрібно інвестувати в навчання безпеки та підвищення обізнаності. Щоб залишатися захищеними від DeathStalker, ми радимо організаціям вимкнути можливість використання мов сценаріїв, таких як powershell.exe і cscript.exe, де це можливо. Ми також рекомендуємо, щоб майбутні тренінги з підвищення обізнаності та оцінки продуктів безпеки включали ланцюжки зараження на основі файлів LNK (ярликів).»
Для отримання додаткової інформації див. SecureList Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/