Hakeru grupa “DeathStalker” uzbrūk ar jaunu ļaunprogrammatūru “PowerPepper”
Foto: Compare Fibre/Unsplash.com
“DeathStalker” ir sarežģītu mērķuzbrukumu izpildītājs, kas, domājams, piedāvā uzlaušanas pakalpojumus, lai no finanšu un juridiskā sektora uzņēmumiem zagtu konfidenciālu komercinformāciju. Algotņu, par kuriem šā gada augustā pirmoreiz informēja “Kaspersky” pētnieki, darbība atkal ir novērota reālajā vidē. Šoreiz viņi izmanto jaunu ļaunprogrammatūras implantēšanas un piegādes taktiku: lūku, ko “Kaspersky” iedēvējis par “PowerPepper”, kura par sakaru kanālu izmanto DNS over HTTPS (lai paslēptu saziņu ar vadības serveri likumīga izskata datplūsmā). Turklāt “PowerPepper” izmanto vairākus izvairīšanās paņēmienus, tostarp steganogrāfiju (datu slēpšanas paņēmiens).
“DeathStalker” ir ļoti neparasta sarežģītu mērķuzbrukumu izpildītāja. Vismaz kopš 2012.gada grupa veic mazu un vidēju uzņēmumu – juridisko firmu un finanšu sektora pārstāvju – izspiegošanas kampaņas. Atšķirībā no citām sarežģītu mērķuzbrukumu grupām, šķiet, šī nav politiski motivēta, kā arī nemeklē finansiālus ieguvumus no uzbrukumiem pakļautajiem uzņēmumiem. Drīzāk tā darbojas kā algotņi, kas par noteiktu cenu piedāvā hakeru pakalpojumus.
“Kaspersky” pētnieki nesen konstatējuši jaunas šīs grupas ļaunkampaņas, šoreiz izvietojot jaunu lūku (ļaunprogrammatūru, kas uzbrucējiem ļauj attāli pārņemt upura ierīces vadību), kas pazīstama ar nosaukumu “PowerPepper”.
Tāpat kā citi ar šo grupu saistītie ļaunprogrammatūru paveidi, arī “PowerPepper” parasti tiek izplatīta, izmantojot mērķpikšķerēšanas e-vēstules ar ļaundatnēm, kas tiek piegādātas e-vēstules pamattekstā vai ar ļaunprātīgu saiti. Lai ar viltu piespiestu upurus atvērt ļaunprātīgos dokumentus, grupa izmantoja starptautiskus notikumus, ogļskābās gāzes izmetes noteikumus un pat pandēmiju.
Galvenais ļaunvērtums tiek nomaskēts, izmantojot steganogrāfiju – procesu, kas uzbrucējiem ļauj slēpt datus likumīgā saturā. “PowerPepper” gadījumā ļaunkods tiek iegults šķietami parastos paparžu vai piparu (tāpēc tāds nosaukums) attēlos, un pēc tam izvilkts ar ielādētāja skriptu. Tiklīdz tas ir noticis, “PowerPepper” sāk izpildīt “DeathStalker” operatoru sūtītās attālās čaulas komandas, kuru nolūks ir nozagt konfidenciālu komercinformāciju. Uzbrukumam pakļautajā sistēmā ļaunprogrammatūra var izpildīt jebkuru čaulas komandu, tostarp veikt standarta datu izlūkošanu, piemēram, ievākt datora lietotāja un datņu informāciju, pārlūkot datņu kopīgošanu tīklā un lejupielādēt papildu binārās datnes vai pārkopēt saturu uz attālām vietām. Komandas pienāk no vadības servera, izmantojot DNS over HTTPS sakarus – tas ir efektīvs veids, kā ļaunprātīgu saziņu noslēpt aiz īstiem servera nosaukuma vaicājumiem.
Steganogrāfija ir tikai viens no vairākiem ļaunprogrammatūras izmantotajiem aizsegšanas un izvairīšanās paņēmieniem. Ielādētājs ir nomaskēts par “GlobalSign” (identitātes pakalpojumu sniedzēja) pārbaudes rīku, tas izmanto pielāgotu aizsegšanu, un ļaunprātīgo piegādes skriptu daļas ir paslēptas “Word” iegultos objektos. Saziņa ar implantu un serveriem ir šifrēta, un, tā kā tiek izmantoti uzticami, parakstīti skripti, startēšanas laikā pretvīrusu programmatūra ne vienmēr atzīst implantu par ļaunprātīgu.
“PowerPepper” izvērsto šifrēšanas paņēmienu kopsavilkums
“PowerPepper” ir novērota uzbrukumos lielākoties visā Eiropā, bet arī Amerikās un Āzijā. Iepriekš aprakstītajās kampaņās “DeathStalker” galvenokārt uzbruka juridisko konsultāciju firmām un organizācijām, kas sniedz finansiālus un kriptovalūtu pakalpojumus.
“”PowerPepper” vēlreiz apliecina, ka “DeathStalker” ir radošs apdraudējumu izpildītājs, kas spēj īsā laikā konsekventi izstrādāt jaunus implantus un rīkķēdes. “PowerPepper” ir jau ceturtais ar šo izpildītāju saistītais ļaunprogrammatūru paveids, un mēs esam atraduši potenciālo piekto paveidu. Lai gan “DeathStalker” ļaunprogrammatūra nav sevišķi sarežģīta, tā ir izrādījusies visai efektīva, iespējams, tāpēc, ka tās galvenie upuri ir mazas un vidējas organizācijas, kam parasti ir mazāk spēcīgas drošības programmas. Mēs domājam, ka “DeathStalker” turpinās darbību, un mēs turpināsim novērot grupas kampaņas,” komentē “Kaspersky” drošības eksperts Pjērs Delšers.
“PowerPepper” analīze bija ietverta jaunākajā sērijas “GReAT Ideas” sarīkojumā “Powered by Croissant. Baguette Edition”. Tās ierakstu, kā arī citas “Kaspersky” augstākā līmeņa ekspertu prezentācijas par jaunākajām norisēm apdraudējumu vidē var noskatīties šeit
Par “PowerPepper” un tā izvairīšanās paņēmieniem vairāk lasiet vietnē “Securelist”.
Lai aizsargātu organizāciju no “PowerPepper” un tamlīdzīgiem uzbrukumiem, “Kaspersky” eksperti iesaka rīkoties šādi.
• Nodrošināt sava drošības vadības centra darbiniekiem piekļuvi jaunākajai informācijai par apdraudējumiem.
• Lai līdz minimumam samazinātu risku inficēties no pikšķerēšanas e-vēstulēm, uzņēmumiem ir jāizglīto darbinieki, izmantojot kiberdrošības higiēnas pamatu mācības, lai viņi piesardzīgi izturētos pret nepazīstamu sūtītāju e-vēstulēm. Ja viņi saņem šādas vēstules, nedrīkst atvērt pielikumus vai noklikšķināt uz saitēm tajās, iepriekš nepārliecinoties, ka vēstule ir īsta.
• Lai aizsargātu vidējos uzņēmumus no šādiem sarežģītiem uzbrukumiem, ieteicams izmantot galiekārtu drošības risinājumus ar noteikšanas un reaģēšanas funkcijām.
Informāciju sagatavoja [email protected].
