DeathStalker 是一个高级可持续性威胁(APT)组织,据称该组织提供黑客雇佣服务,从金融和法律领域的公司窃取敏感的商业信息。
DeathStalker 是一个高级可持续性威胁(APT)组织,据称该组织提供黑客雇佣服务,从金融和法律领域的公司窃取敏感的商业信息。卡巴斯基研究人员最早在今年8月报告了这种威胁组织的活动情况,现在再一次在野外发现其活动。这一次,他们使用一种新的恶意软件植入物和分发策略:卡巴斯基将其称为 PowerPepper 后门程序,该程序利用HTTPS上的DNS作为通信通道(将与控制服务器的通信隐藏在看起来合法的通信中)。PowerPepper 还使用多种规避技术,包括隐写技术(一种伪装数据的手段)。
DeathStalker 是一种非同寻常的高级可持续性威胁(APT)行为者。至少从2012年就开始活跃,该组织对中小型企业——律师事务所和代表金融行业的企业进行间谍活动。与其他APT组织不同,该威胁组织似乎没有政治动机,也没有从他们攻击的企业中获得经济利益。相反,他们充当雇佣军,有偿提供黑客服务。
卡巴斯基研究人员最近发现了该组织发起的最新恶意行动,这一次,他们部署了一种被称为 PowerPepper 的最新后门程序(一种能够允许攻击者远程控制受害者设备的恶意软件)。
与其他跟该组织相关联的恶意软件一样,PowerPepper 通常通过鱼叉式钓鱼邮件进行传播。这些邮件中包含恶意文件或恶意链接。该威胁组织会利用各类国际事件,例如碳排放法规,甚至这次的疫情来诱骗受害者打开邮件中的恶意文件。
主要恶意有效载荷使用隐写技术进行伪装——这种手段能够让攻击者将数据隐藏在合法内容中。在 PowerPepper 中,恶意代码被嵌入到看似普通的蕨类植物或辣椒的图片中(该恶意软件因此而得名),然后由加载程序脚本提取。一旦开始提取,PowerPepper 就开始执行由DeathStalker 操作人员发送的远程shell命令,这些命令的目的是窃取敏感的商业信息。该恶意软件能够在受攻击系统上执行任意shell命令,包括标准的数据侦查命令,例如收集计算机的用户和文件信息,浏览网络共享的文件,下载其他二进制文件或将内容复制到远程位置。这些命令是通过HTTPS通信的DNS从控制服务器获取得——这是一种有效的通讯方法,可以将恶意通讯隐藏在合法的服务器名称查询中。
隐写技术知识这种恶意软件使用的多种混淆和规避技术之一。加载器伪装成GlobalSign (一个身份服务提供商)验证工具,它使用自定义的混淆技术,并且让部分恶意交付脚本隐藏在Word嵌入对象中。与植入物和服务器的通讯是加密的,而且由于使用了受信任并签名的脚本,在启动时反病毒软件并不一定能够识别出植入物是恶意的。
PowerPepper 部署的加密技术总结
PowerPepper 攻击主要出现在欧洲,但美洲和亚洲也存在。在之前描述的攻击活动中,DeathStalker 主要攻击法律咨询公司和提供金融或加密货币服务的组织。
PowerPepper再次证明了DeathStalker是一个具有创造力的威胁行为者:是一个能够在很短时间内不断开发最新植入物和工具链的威胁组织。PowerPepper已经是与组织相关的第四种恶意软件毒株,而且我们发现了潜在的第五种毒株。尽管它们并不是特别复杂,但DeathStalker的恶意软件已经被证明是相当有效的,这或许是因为它们的主要目标是中小型组织,而这些组织的安全程序通常不够强大。我们预测 DeathStalker 将保持活跃,我们将继续监控其活动,”卡巴斯基安全专家 Pierre Delcher 评论说。
PowerPepper 是最先进的 GReAT Ideas:Croissant. Baguette版的一部分。您可以观看录像以及卡巴斯基顶级专家关于最新威胁发展的其他演讲:https://kas.pr/uy1e
想要阅读更多有关PowerPepper 详情以及其规避技术,请访问Securelist.
为了保护您的组织抵御诸如 PowerPepper 这类威胁的攻击,卡巴斯基专家建议:
- 为您的安全运营中心团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户是公司威胁情报服务的一站式访问平台,提供了卡巴斯基超过20年来收集的网络攻击数据和观点。
- 为了将通过钓鱼邮件感染的风险降到最低,企业应当对员工进行基础网络安全卫生培训,让他们警惕来自未知发件人的邮件。如果收到此类邮件,在确认邮件是安全以及合法之前,员工不应当打开其中的附件或点击其中的链接。
- 要保护中型企业免受此类高级攻击的威胁,最好使用具有EDR功能的端点安全解决方案。卡巴斯基的集成端点安全解决方案可以检测此类攻击,并提供一系列针对中型企业的IT和安全团队优化的响应行动。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
