Кибершпионская группа DeathStalker и их инструменты

Группа DeathStalker выбирает своей целью относительно небольшие компании и охотится за их коммерческими секретами.

Наши эксперты выявили активность киберпреступной группы, специализирующейся на краже коммерческих секретов. Судя по целям, они в основном интересуются финтех-компаниями, юридическими фирмами и финансовыми консультантами. Хотя как минимум в одном случае они атаковали дипломатическую организацию.

Такой выбор целей может говорить о том, что эти злоумышленники, получившие условное название DeathStalker, либо охотятся за какой-то информацией, чтобы затем выставить ее на продажу, либо предоставляют услугу «атака по заказу». То есть работают наемниками.

Группа действует как минимум с 2018 года, а возможно, и с 2012-го. Первым их инструментом, с которым столкнулись наши эксперты, был имплант Powersing. Однако и в более современных атаках DeathStalker использует те же подходы.

Как злоумышленники действуют

Изначально преступники проникают в сеть жертвы при помощи целевого фишинга, присылая кому-то из сотрудников вредоносный файл LNK, замаскированный под офисный документ. То есть по сути это ярлык, который ведет на системный интерпретатор командной строки cmd.exe и с его помощью выполняет вредоносный скрипт. Причем жертве демонстрируют бессмысленный документ в формате PDF, DOC или DOCX, что создает иллюзию нормального взаимодействия с файлом.

Интересно, что во вредоносном коде нет адреса командного сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки. Такая тактика носит название dead drop resolver.

В процессе выполнения следующего этапа злоумышленники захватывают контроль над компьютером, помещают очередной вредоносный ярлык в папку автозапуска (чтобы оставаться в системе после перезагрузки) и устанавливают связь с настоящим контрольным сервером (опять же, получив его адрес из бессмысленной строки в сообщении на легитимном сайте).

Имплант Powersing, по сути, может выполнять две задачи — периодически делать снимки экрана на машине жертвы и отправлять их на командный сервер, а также исполнять скачанные с командного сервера дополнительные скрипты PowerShell. То есть его цель — закрепиться на машине жертвы и служить для запуска дополнительных инструментов.

Методы обмана защитных технологий

На всех этапах это вредоносное ПО использует различные методы обхода защитных технологий. Причем эти методы варьируются в зависимости от цели. Более того, вредонос определяет, какое антивирусное решение установлено на компьютере жертвы, и в случае чего может сменить тактику или вообще отключиться. Наши эксперты предполагают, что перед каждой атакой злоумышленники изучают цель и подстраивают скрипты под нее.

Но самый любопытный метод, применяемый DeathStalker, — это как раз использование публичных сервисов в качестве механизма dead drop resolver. По сути, эти сервисы обеспечивают размещение по фиксированному адресу зашифрованной информации в публично доступных постах, комментариях, профилях пользователя, описании контента. Выглядит это примерно вот так:

Пример сообщения, из которого злоумышленники считывают информацию

По большому счету это тоже механизм обмана — так злоумышленники пытаются спрятать начало общения с командным сервером, замаскировав его под легитимное обращение к публичным сайтам. Наши эксперты обнаружили, что для этой цели они используют Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube и сайты на WordPress. Вряд ли это полный список. Как бы то ни было, маловероятно, что компании будут блокировать доступ ко всем этим сервисам.

Информацию о возможной связи группы DeathStalker с вредоносами Janicab и Evilnum, а также полное техническое описание Powersing вместе с индикаторами компрометации можно найти в блогпосте на сайте Securelist.

Как защитить компанию от DeathStalker

Описание методов и инструментов этой группы служит неплохой иллюстрацией того, с какими угрозами в современном мире может столкнуться даже относительно небольшая компания. Да, никаких особо сложных приемов они не используют. Однако их инструменты заточены под обход многих защитных решений. Наши эксперты рекомендуют защитникам:

  • Уделять особое внимание процессам, запускаемым интерпретаторами для скриптовых языков, в частности powershell.exe и cscript.exe. Если они объективно не нужны для выполнения бизнес-задач, то их лучше сделать недоступными.
  • Учит ывать возможность атак, которые начинаются с LNK-файлов в почте.
  • Использовать продвинутые защитные технологии, в том числе и решения класса EDR.

В частности, в нашем арсенале есть интегрированное решение, способное взять на себя функции и Endpoint Protection Platform (EPP), и Endpoint Detection and Response (EDR). Узнать о нем подробнее можно официальной странице.

Советы