0
0
Grupo DeathStalker mira empresas relativamente pequenas e seus segredos de negócios
Nossos especialistas identificaram um grupo cibercriminoso especializado em roubar segredos comerciais. A julgar por seus alvos até agora, o grupo está interessado principalmente em atacar fintechs, escritórios de advocacia e assessores financeiros, embora em pelo menos um caso também tenha atacado uma entidade diplomática.
Essa escolha de alvos pode indicar que esse grupo, de codinome DeathStalker, está procurando informações específicas para vender ou oferecendo um serviço de “ataque sob demanda”. Em outras palavras, um grupo mercenário.
O DeathStalker está ativo desde 2018, mas é provável que sua atuação seja desde 2012. Seu uso do implante Powersing foi o que primeiramente chamou a atenção de nossos especialistas. Operações mais recentes também empregam métodos semelhantes.
O ataque
Primeiro, os criminosos penetram na rede da vítima usando spear phishing e, em seguida, enviam um arquivo LNK malicioso, disfarçado de documento, para um funcionário da organização.
O arquivo é um atalho que inicia o interpretador de linha de comando do sistema, cmd.exe, e o usa para executar um script malicioso. A vítima vê um documento sem sentido em formato PDF, DOC ou DOCX, o que cria a ilusão de que ela abriu um arquivo normal.
Curiosamente, o código malicioso não contém o endereço do servidor de Comando e Controle (C&C). Em vez disso, o programa acessa um post em uma plataforma pública onde lê uma sequência de caracteres que à primeira vista parecem sem sentido.
Na verdade, são informações criptografadas projetadas para ativar o próximo estágio do ataque. Esse tipo de tática é conhecido como resolução dead drop.
Durante a próxima fase, os invasores assumem o controle do computador, colocam um atalho malicioso na pasta de execução automática (para que continue a ser executado no sistema) e estabelecem uma conexão com o servidor C&C real (embora apenas depois de decodificar seu endereço do que parece ser outra string sem sentido publicada em um site legítimo).
Essencialmente, o implante Powersing executa duas tarefas: ele faz capturas de tela periodicamente na máquina da vítima e as envia para o servidor C&C, e também executa scripts Powershell adicionais que são baixados do servidor C&C. Em outras palavras, seu objetivo é ganhar uma posição na máquina da vítima para lançar ferramentas adicionais.
Formas de enganar os mecanismos de segurança
Em todos os estágios, esse malware usa vários métodos para contornar as tecnologias de segurança e a escolha do método depende do alvo. Além disso, se identificar uma solução antivírus no computador de destino, o malware pode mudar de tática ou até mesmo se desativar.
Nossos especialistas acreditam que os cibercriminosos estudam o alvo e ajustam seus scripts para cada ataque.
Mas a técnica mais curiosa do DeathStalker é o uso de serviços públicos como um mecanismo de resolução deaddrop. Em sua essência, esses serviços permitem que as informações criptografadas sejam armazenadas em um endereço fixo na forma de publicações, comentários, perfis de usuário e descrições de conteúdo acessíveis ao público. Esses posts podem ter a seguinte aparência:
De modo geral, é apenas um truque: é assim que os invasores tentam esconder o início da comunicação com o servidor C&C, fazendo com que os mecanismos de proteção pensem que alguém está apenas acessando sites públicos.
Nossos especialistas identificaram casos em que os invasores usaram os sites Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube e WordPress para essa finalidade. E a lista acima dificilmente é uma lista abrangente. No entanto, é improvável que as empresas bloqueiem o acesso a todos esses serviços.
Você encontrará mais informações sobre uma possível ligação entre o grupo DeathStalker e o malware Janicab e Evilnum, bem como uma descrição técnica completa de Powersing, incluindo indicadores de comprometimento, na publicação recente da Securelist sobre o DeathStalker.
Como proteger sua empresa do DeathStalker
Uma descrição dos métodos e ferramentas do grupo fornece uma boa visão de quais ameaças até mesmo uma empresa relativamente pequena pode enfrentar nos dias de hoje.
Claro, o grupo dificilmente é um ator APT e não usa nenhum truque particularmente complicado. No entanto, suas ferramentas são personalizadas para burlar muitas soluções de segurança. Nossos especialistas recomendam as seguintes medidas de proteção:
• Preste atenção especial aos processos iniciados por intérpretes de linguagem de script, incluindo, em particular, powershell.exe e cscript.exe. Se você não tiver nenhuma necessidade objetiva para que eles realizem tarefas de negócios, desative-os.
• Fique atento a ataques perpetrados por arquivos LNK, espalhados por mensagens de e-mail
• Use tecnologias de proteção avançadas, incluindo soluções de classe EDR.
Em particular, temos uma solução integrada em nosso arsenal que pode assumir as funções de Plataformas de Proteção de Endpoints (EPP) e Detecção e Resposta de Endpoints (EDR).
FONTE: CRYPTO ID