Kaspersky: DeathStalker atakuje instytucje finansowe i adwokatów

Przeczytaj także: Zapłać 0,01 bitcoina, a na zawsze unikniesz ataku DDoS

Jak pisze Kaspersky, chociaż doniesienia o cyberprzestępcach sponsorowanych przez rządy czy zaawansowanych atakach dobiegają naszych uszu coraz częściej, to jednak prawdziwą bolączką firm są bezpośrednie zagrożenia, nawet jeśli ich skala nie jest bardzo spektakularna.

Przedsiębiorcy od lat zmagają się zarówno z panoszącym się oprogramowaniem ransomware, jak i ze szpiegostwem przemysłowym czy wyciekami danych. Szkody z tego tytułu bywają ogromne, a powstały w ich wyniku uszczerbek ma wymiar nie tylko finansowy, ale także wizerunkowy. Za tego rodzaju działaniami kryją się przeważnie koordynatorzy złośliwego oprogramowania średniego szczebla. Niekiedy też są to gangi hakerskie „do wynajęcia”. Takim właśnie ugrupowaniem jest obserwowany przez Kaspersky od 2018 roku DeathStalker.

DeathStalker to unikatowa grupa cyberprzestępcza, która koncentruje się głównie na działaniach szpiegowskich wymierzonych w kancelarie adwokackie oraz instytucje finansowe. Charakteryzuje ją niezwykła adaptacyjność oraz szybkie projektowanie złośliwego oprogramowania, które pozwala przeprowadzać skuteczne kampanie przestępcze.

W swoim nowym badaniu eksperci z firmy Kaspersky połączyli aktywność ugrupowania DeathStalker z trzema rodzinami złośliwego oprogramowania:

1. Powersing,
2. Evilnum oraz
3. Janicab.

Świadczy to o szerokim zakresie działań tej grupy, prowadzonych od co najmniej 2012 r. Złośliwe oprogramowanie Powersing było monitorowane przez firmę Kaspersky od 2018 r., natomiast o dwóch pozostałych rodzinach szkodników informowali inni producenci z branży cyberbezpieczeństwa. Analizując podobieństwa w kodzie oraz w zakresie ofiar tych trzech rodzin złośliwego oprogramowania, badacze stwierdzili ze średnim stopniem pewności, że są one ze sobą powiązane.

Taktyki, techniki oraz procedury ugrupowania nie uległy zmianie na przestrzeni lat: w celu dostarczenia archiwów zawierających szkodliwe pliki stosowano spersonalizowane wiadomości phishingowe. Po kliknięciu przez użytkownika skrótu następowało wykonanie szkodliwego skryptu, który pobierał dalsze komponenty z internetu. W ten sposób osoby atakujące mogły przejąć kontrolę nad urządzeniem ofiary.

Przykładem może być moduł Powersing – najwcześniej wykryty szkodliwy kod wykorzystywany przez ugrupowanie DeathStalker. Po zainfekowaniu urządzenia ofiary szkodnik może okresowo wykonywać zrzuty ekranu i uruchamiać dowolne skrypty. Stosując alternatywne metody przetrwania w zależności od zainstalowanego na zainfekowanym urządzeniu rozwiązania bezpieczeństwa, szkodnik jest w stanie uniknąć wykrycia, co sugeruje, że ugrupowanie potrafi wykonywać testy skuteczności rozwiązań bezpieczeństwa przed każdą kampanią oraz aktualizować swój kod zgodnie z wynikami takich analiz.

W kampaniach z użyciem złośliwego oprogramowania Powersing ugrupowanie DeathStalker wykorzystuje również znaną publiczną usługę w celu wplecenia początkowej komunikacji szkodnika w „legalny” ruch sieci. Ma to na celu dodatkowe zwiększenie prawdopodobieństwa ominięcia systemów bezpieczeństwa.

Aktywność ugrupowania DeathStalker została wykryta na całym świecie, co obrazuje skalę jego operacji. Działania związane ze szkodnikiem Powersing zostały zidentyfikowane w Argentynie, Chinach, na Cyprze, w Izraelu, w Libanie, Szwajcarii, Tajwanie, Turcji, Wielkiej Brytanii oraz Zjednoczonych Emiratach Arabskich. Szczegółowe informacje dotyczące wskaźników infekcji (IoC) związanych z tym ugrupowaniem są dostępne w serwisie Kaspersky Threat Intelligence Portal.

DeathStalker to doskonały przykład ugrupowania cyberprzestępczego, przed którym powinny zabezpieczyć się organizacje w sektorze prywatnym. Chociaż często skupiamy uwagę na działaniach przeprowadzanych przez duże i dobrze znane gangi, DeathStalker przypomina nam, że organizacje, które zwykle nie stawiają bezpieczeństwa na pierwszym planie, powinny uświadomić sobie, że również mogą stać się celem.

Kliknij, aby powiekszyć

fot. mat. prasowe

Cyberatak na bank

DeathStalker koncentruje się głównie na działaniach szpiegowskich wymierzonych w kancelarie adwokackie oraz organizacje z sektora finansowego.

Co więcej, sądząc po nieprzerwanej aktywności ugrupowania DeathStalker, spodziewamy się, że nadal będzie ono stanowić zagrożenie, wykorzystując przeciwko organizacjom nowe narzędzia. Grupa ta jest niejako dowodem na to, że małe i średnie organizacje powinny zainwestować w ochronę oraz szkolenia w zakresie zwiększania świadomości dotyczącej zagrożeń – powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky. Organizacjom, które chcą ochronić się przed ugrupowaniem DeathStalker, zalecamy, aby w miarę możliwości wyłączyły wykorzystywanie języków skryptowych, takich jak powershell.exe czy cscript.exe. Zalecamy również, aby przyszłe szkolenia zwiększające świadomość zagrożeń oraz oceny produktów bezpieczeństwa uwzględniały łańcuchy infekcji oparte na plikach LNK (skróty w systemie Windows).