卡巴斯基研究人员分享了有关DeathStalker的最新详情。
马萨诸塞州沃本市——2020年8月24日——卡巴斯基研究人员分享了有关DeathStalker的最新详情。DeathStalker 是一个雇佣兵性质的高级可持续威胁(APT)组织,至少从2012年开始,该组织就一直在利用高效的间谍攻击对金融行业的中小型企业进行攻击。最新的发现表明该组织一直在对从欧洲到拉丁美洲的全世界的企业进行攻击,并且强调了为什么网络安全保护对中小型组织的必要性。
DeathStalker 是一个可雇佣实施攻击的威胁组织,卡巴斯基从2018年起就开始追踪该组织。这是一个独特的威胁组织,主要专注于针对律师事务所和金融行业的组织实施网络间谍活动。该威胁组织具有高度的适应性,并且以使用迭代和快节奏的软件设计而闻名,这使得他们能够执行有效的攻击行动。
最近的研究让卡巴斯基将 DeathStalker 的活动与三个恶意软件家族联系起来,分别为:Powersing、Evilnum 和 Janicab。这表明该组织至少从2012年开始就已经活跃。安全厂商从2018年开始追踪到 Powersing,另外两个恶意软件家族也被其他网络安全厂商报告过。对这三个恶意软件家族之间的代码相似性和受害者行为的分析使研究人员能够较为自信地将他们彼此联系起来。
该威胁组织所使用的战略、技术以及程序多年来一直保持不便,依靠量身定做的鱼叉式钓鱼邮件来传播包含恶意文件的文档。当用户点击快捷方式时,恶意脚本会被执行,并从互联网上下载进一步的组件。这使得攻击者可以控制受害者的计算机。
一个例子是使用 Powersing,一种基于PowerShell的植入物,是检测到的该威胁组织使用的首个恶意软件。一旦受害者的计算机被感染,该恶意软件就能够定期捕获屏幕截图并执行任意的Powershell脚本。该恶意软件能够根据在受感染设备上检测到的安全解决方案,使用另类的持久化手段,躲避安全解决方案的检测。这表明该组织有能力在每次实施攻击行动前进行检测测试,并根据最新结果更新脚本。
在利用 Powrsing 的攻击活动中,DeathStalker 还使用了一个知名的公共服务将初始的后门通信混入合法的网络流量中,从而限制防御者阻碍他们进行攻击行动的能力。使用放置在各种合法的社交媒体、博客和消息服务上的dead-drop解析器(指向附加命令和控制基础结构的信息宿主),可以逃避检测并迅速终止攻击活动。一旦受害者被感染,他们将与这些解析器联系并被其重定向,从而隐藏了通信链。
托管在合法公共服务上的 dead-drop 域名解析器示例
在全球范围内都检测到 DeathStalker 的攻击活动,进一步显示了其攻击行动的规模。在阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、中国台湾、土耳其、英国和阿拉伯联合酋长国都发现了与Powersing有关的攻击活动。卡巴斯基还在塞浦路斯、印度、黎巴嫩、俄罗斯和阿拉伯联合酋长国发现了 Evilnum 的受害者。与该组织相关的感染迹象的详细信息,包括文件哈希值和C2服务器,可通过卡巴斯基威胁情报门户访问。
卡巴斯基全球研究和分析团队高级安全研究员 Ivan Kwiatkowski 评论说:“DeathStalker 是一个绝好的例子,证明了私营行业组织需要抵御威胁组织的攻击。我们经常关注由 APT 组织发动的攻击行动,但 DeathStalker 提醒我们,那些传统上安全意识不强的组织也需要注意避免成为威胁组织的攻击目标。此外,从他们不断的活动来看,我们预测 DeathStalker 将继续保持威胁性,利用新的工具影响各类组织。从某种意义上说,这个威胁组织证明了中小型公司也需要在安全和安全意识培训方面进行投资。为了避免遭到 DeathStalker的危害,我们建议组织尽可能禁用使用脚本语言(例如powershell.exe和cscript.exe)的功能。我们还建议未来的意识培训和安全产品评估包括基于LNK(快捷方式)文件的感染链。”
要阅读有关 DeathStalker 的完整描述,请访问Securelist.com.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
