網路間諜組織DeathStalker以及他們的作案工具手段

DeathStalker組織以小型企業及其商業機密訊息為目標。

我們的安全專家發現了一個專門竊取商業機密的網路犯罪組織。目前來看,該組織的攻擊目標主要是金融科技公司、律師事務所和財務諮詢公司,還至少攻擊過一次外交機構。

根據他們的攻擊目標範圍,我們發現這個代號為DeathStalker的組織是一群網路僱傭兵。他們提供”按需攻擊”的黑客服務,或在金融界充當某種訊息經紀人的角色。

DeathStalker團伙最早活動可以追溯到2018年,甚至更早至2012年。正是他們對Powersing植入的使用引起了我們安全專家的注意,近期的多起攻擊也使用了相似的方法。

攻擊手段

首先,犯罪團伙使用魚叉式網路釣魚滲入受害者的網路,然後他們向內部員工發送偽裝成文檔的惡意LNK文件。該文件是一個快捷方式,它會啟動系統命令解析器cmd.exe並執行一條惡意腳本程式。受害者會看到隨機的PDF、DOC或者DOCX格式的文檔,這會造成他們打開了一個正常文件的假象。

有趣的是,惡意代碼中並不含有C&C伺服器的地址。該惡意程式會訪問發佈在公共平台上的某個帖子,並讀取其中一段看似沒有意義的字符串。實際上,這是用來啟動下一階段攻擊的加密訊息,這種攻擊策略被稱為dead drop resolver。

接下來,攻擊者獲取電腦的控制權,在自動運行文件夾中放置一個惡意快捷方式文件(從而使其在系統中運行),並且和真正的C&C伺服器建立連接(在這之前,它必須解碼另一條發佈在正常網站上的看似沒有意義的字符串來獲取伺服器地址)。

實質上,Powersing植入完成兩個任務:它定期截取受害者的螢幕並發送至C&C伺服器,而且還從C&C伺服器下載運行更多的Powershell腳本程式。換句話說,它的目標是在受害者的電腦上站穩腳跟從而啟動更多的攻擊工具。

繞過安全機制的方法

在攻擊的各個階段,該惡意程式會根據不同目標而使用各種各樣的方法來繞過安全防禦技術。除此之外,如果它在目標電腦上發現防毒軟體,它可以改變攻擊策略甚至停止攻擊。我們的安全專家認為攻擊團伙在每次攻擊中都會研究目標並適當調整他們的腳本程式。

不過DeathStalker最奇特的攻擊技術是將公共服務用作dead drop resolver機制,這些服務允許將加密訊息以公開可讀的帖子、評論、用戶簡介和內容描述等形式儲存在固定的地址。帖子就如下圖所示:

總的來說,這只是攻擊者用來隱藏與C&C伺服器初始連接的一個小把戲,使得安全保護機制認為程式只是訪問公開網站。我們的安全專家在各種攻擊案例中發現,被用於該目的的服務包括Google+、Reddit、Tumblr、Twitter、YouTube和WordPress等等。而且以上只是部分被利用的服務,公司不太可能阻攔和這些服務的所有網路連接。

通過閱讀Securelist上近期發表的一篇和DeathStalker有關的文章,你可以找到更多訊息,包括DeathStalker團伙和Janicab以及Evilnum惡意程式之間的可能聯繫,還有對Powersing技術的詳細描述以及被感染指標。

如何保護企業不受DeathStalker攻擊

從對該團伙攻擊方法和工具的描述中,我們可以看出,在當今世界即便是小型企業也要面對嚴峻的網路威脅。這個組織並非APT攻擊者,他們也沒有使用任何過於復雜的詭計,但是他們精心設計了用來繞過安全軟體的工具。我們的安全專家提出以下防護建議:

  • 特別注意由腳本語言解析器啟動的進程,尤其是powershell.exe和cscript.exe。如果沒有特別需求使用它們來完成商業任務,請將其禁用。
  • 提防那些由郵件傳播LNK文件發動的攻擊。
  • 使用高級保護技術,包括EDR(終端檢測與相應)級別的解決方案。

與此同時,我們的武器庫中有一個集成解決方案,可以同時兼具終端保護平台(EPP)和終端檢測與響應(EDR)的功能,你可以點擊這裡來了解更多訊息。

資料來源: https://www.kaspersky.com/blog/deathstalker-powersing/36815/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: