DeathStalker APT
DeathStalker es el nombre que se le da a un grupo de piratas informáticos de amenazas persistentes avanzadas (APT) que los investigadores creen que operan como mercenarios u ofrecen servicios de piratería informática. La base de este análisis son las características particulares que presentan las operaciones atribuidas al grupo. A diferencia de lo que se considera el comportamiento típico de los ciberdelincuentes, DeathStalker no infecta a sus víctimas con ransomware y no recopila credenciales bancarias o de tarjetas de crédito / débito, señales claras de que los piratas informáticos no buscan ganancias financieras de sus víctimas. En cambio, DeathStalker parece haberse especializado en la exfiltración de datos de una gama muy reducida de víctimas. Aparte de algunas excepciones singulares, como atacar a una entidad diplomática, el grupo ha perseguido de forma constante a empresas privadas que operan en el sector financiero, como consultoras, empresas de tecnología, despachos de abogados, etc. En cuanto a la distribución geográfica, al rastrear el tráfico generado por una de las principales herramientas de DeathStalker, una amenaza de malware llamada Powersing, se descubrieron víctimas de DeathStalker en China, Chipre, Israel, Argentina, Líbano, Suiza, Turquía, Taiwán, Reino Unido y Los Emiratos Arabes Unidos.
Resolutores de Spear-Phishing y Dead Drop
Al observar de cerca la cadena de ataque de DeathStalker APT, se revela que los piratas informáticos entregan su herramienta principal a través de correos electrónicos de spear-phishing que contienen archivos adjuntos comprometidos. Los archivos adjuntos se hacen pasar por documentos o archivos de Explorer pero, en cambio, llevan un archivo LNK dañado. Cuando el usuario desprevenido los ejecuta, inicia una cadena complicada de múltiples etapas. Durante la etapa inicial, se muestra un documento señuelo al usuario en un intento de enmascarar toda la actividad que está sucediendo en segundo plano y generar la menor sospecha posible. Un mecanismo de persistencia se establece mediante la creación de un acceso directo en la carpeta de inicio de Windows que ejecuta un script de inicio de VBE. La carga útil de malware real se elimina en la segunda etapa del ataque. Se conecta a un solucionador de puntos muertos para obtener la dirección real del servidor Command-and-Control (C&C, C2). Una vez que se establece la comunicación, Powersing es responsable de solo dos cosas: tomar capturas de pantalla del sistema, enviarlas al servidor C2 inmediatamente y esperar a que se ejecuten los scripts de Powershell proporcionados por el C2.
La peculiar forma en que Powersing llega a su dirección C2 es bastante singular. Los piratas informáticos dejan cadenas que contienen los datos iniciales sobre varios servicios públicos como publicaciones, comentarios, reseñas, perfiles de usuario, etc. Los investigadores descubrieron dichos mensajes en Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress e Imgur. El uso de servicios públicos tan conocidos casi garantiza el éxito de la comunicación inicial debido a la facilidad con la que el tráfico se integra con el tráfico normalmente generado y la dificultad que pueden encontrar las empresas si deciden poner las plataformas en la lista negra. Sin embargo, existe un inconveniente para los piratas informáticos, ya que eliminar sus rastros se vuelve casi imposible. Como resultado, los investigadores pudieron determinar que los primeros signos de actividad de Powersing se originaron en 2017.
Conexiones entre Powersing y otras familias de malware
El poder posee algunas características peculiares que no son tan comunes. Entonces, cuando se descubre que otra familia de malware tiene atributos casi idénticos, se crea una hipótesis plausible de que, o son desarrollados por el mismo grupo de hackers, o que los actores de amenazas están trabajando en estrecha colaboración, sin duda. Sin embargo, cuando se trata de Powersing, se han encontrado similitudes entre este y otras dos familias de malware llamadas Janicab y Evilnum.
Comencemos con el hecho de que los tres se envían a través de archivos LNK ocultos en archivos adjuntos propagados por correos electrónicos de spear-phishing. Es cierto que esta es una táctica bastante común, pero los tres también obtienen sus direcciones C2 a través de resolutores muertos con expresiones regulares y oraciones codificadas. Finalmente, existen superposiciones de código entre estas amenazas de malware, como nombres idénticos para algunas variables y funciones a pesar de estar escritas en diferentes lenguajes de codificación.
