Los piratas informáticos "DeathStalker" son (probablemente) mayores y más productivos de lo que pensábamos


  Foto de una figura encapuchada escondida detrás de un código de computadora.

En 2018, investigadores de la firma de seguridad Kaspersky Lab comenzaron a rastrear a "DeathStalker", el nombre de un grupo de piratas informáticos a sueldo que usaba malware simple pero efectivo para bufetes de abogados de espionaje y compañías financieras. Ahora, los investigadores han vinculado al grupo con otros dos elementos de malware, incluido uno que data de al menos 2012.

DeathStalker informó a Kaspersky del uso de malware, al que un colega llamó "potenciar". El malware recibió su nombre de un script de PowerShell de 900 líneas que los atacantes pusieron mucho esfuerzo en disfrazar el software antivirus.

Los ataques comenzaron con correos electrónicos de spear phishing con archivos adjuntos que parecían ser documentos, pero, con una gran destreza en la que LNK estaba involucrado, los archivos eran en realidad scripts maliciosos. Para evitar que los objetivos se volvieran sospechosos, Powersing mostró un documento de engaño tan pronto como los objetivos hicieron clic en el archivo adjunto.

Además del truco LNK, Powersing también intentó apagar AV con la ayuda de "Dead Drop Resolvers". De hecho, eran publicaciones en las redes sociales que el malware usaba de forma encubierta para resumir la información importante que necesitaba, como: B. A qué servidores de Internet se debe acceder y qué claves deben utilizar para descifrar su contenido. El siguiente tweet es solo uno de los solucionadores de puntos muertos utilizados.

Kaspersky Lab

La ​​primera cadena contenía la clave AES para descifrar el código que luego encontraría un número entero codificado en la segunda cadena. El código luego dividiría el número entero por una constante controlada por el atacante para obtener la dirección IP sobre la cual la computadora infectada debería informar. "Internet nunca olvida". un post publicado el lunes. Continuaron:

También limita lo que los defensores pueden hacer para impedir sus operaciones, ya que estas plataformas, en general, no se pueden bloquear a nivel corporativo y puede resultar difícil y prolongado eliminar contenido de ellas. Sin embargo, esto tiene un precio: Internet nunca se olvida y también es difícil para los ciberdelincuentes eliminar los rastros de sus negocios. Gracias a los datos indexados o archivados por los motores de búsqueda, estimamos que Powersing se utilizó por primera vez en agosto de 2017.

El investigador que acuñó el nombre Powersing especuló que el malware podría estar vinculado a otra familia de malware llamada Janicab. Los investigadores de Kaspersky Lab analizaron una muestra de Janicab publicada en 2015 por el proveedor de antivirus F-Secure. ha sido.

Descubrieron que Janicab también estaba usando el mismo LNK y documentos de engaño para acceder a la aplicación Command de una computadora. También notaron que Janicab hizo conexiones con un video de YouTube no listado que usaba las mismas matemáticas enteras para obtener información del servidor de control. Otras similitudes: ambas piezas de malware enviaban regularmente capturas de pantalla tomadas desde el escritorio, permitían la ejecución de scripts creados por el atacante y usaban exactamente la misma lista de direcciones MAC para detectar máquinas virtuales que los investigadores de seguridad podrían realizar ingeniería inversa.

Introduzca Evilnum

Los investigadores de Kaspersky Lab investigaron una nueva familia de malware llamada Evilnum, que el proveedor de antivirus Eset había descrito en detalle el mes pasado y que informó de otra cadena de infecciones basada en LNK. Kaspersky Lab descubrió que utilizaba el mismo solucionador de puntos muertos y trucos matemáticos de enteros para localizar los servidores de control. Otras similitudes fueron variables con nombres similares o idénticos que se superpusieron a objetivos.

La publicación del lunes resumió las similitudes de la siguiente manera:

  • Los tres se distribuyen a través de archivos LNK contenidos en archivos entregados por spear phishing.
  • Obtiene información de C&C de resolutores muertos con expresiones regulares y oraciones codificadas
  • Las direcciones IP se obtienen en forma de números enteros que se dividen por una constante codificada antes de la conversión.
  • Los pequeños solapamientos de código entre las tres familias de malware pueden indicar que este es el caso Desarrollado por el mismo equipo o en un grupo que comparte prácticas de desarrollo de software
  • Las tres familias de malware tienen capacidades de captura de pantalla. Si bien esto no es original en sí mismo, por lo general no forma parte de las prioridades de desarrollo de dichos grupos y podría indicar una especificación de diseño común.
  • Finalmente, aunque no tenemos mucha información sobre Victimología, Powersing y Evilnum de Janicab, ambos buscan inteligencia empresarial, aunque en diferentes industrias. Ambas actividades coinciden con la hipótesis de que son realizadas por un grupo de mercenarios

. Las similitudes no son de ninguna manera un arma humeante, dijeron los investigadores, pero juntas dan a los investigadores una "confianza media" en que Powersing, Janicab y Evilnum son operados por el mismo grupo.

"En esta publicación de blog describimos una cadena moderna de infección que todavía es utilizada y desarrollada activamente por un actor de amenazas en la actualidad", concluyen los investigadores. “No contiene trucos innovadores ni metodología sofisticada, y ciertos componentes de la cadena pueden parecer en realidad enredados innecesariamente. Sin embargo, si la hipótesis de que el mismo grupo es janicab y potenciación es correcta, sugiere que han estado usando los mismos métodos desde 2012. En el mundo Infosec no hay nada mejor ni más probado. "[19659024]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *