DeathStalker APT

DeathStalkerは、研究者が傭兵として活動している、またはハッキングフォーハイヤーサービスを提供していると信じているハッカーのAdvanced Persistent Threat（APT）グループに付けられた名前です。この分析の基礎は、グループに起因する操作に表示される特定の特性です。典型的なサイバー犯罪行為と見なされるものとは異なり、DeathStalkerは被害者をランサムウェアに感染させず、銀行やクレジットカード/デビットカードの資格情報を収集しません。ハッカーが被害者から金銭的利益を求めていないことを明確に示します。代わりに、DeathStalkerは、非常に狭い範囲の被害者からのデータの抽出に特化しているようです。外交機関への攻撃などのいくつかの例外を除いて、グループは一貫して、コンサルタント会社、テクノロジー会社、法律事務所などの金融セクターで事業を行っている民間企業を追いかけてきました。地理的な広がりについては、DeathStalkerの主要ツールの1つであるPowersingと呼ばれるマルウェアの脅威によって生成されたトラフィックを追跡することにより、DeathStalkerの犠牲者が中国、キプロス、イスラエル、アルゼンチン、レバノン、スイス、トルコ、台湾、英国、アラブ首長国連邦。

スピアフィッシングおよびデッドドロップリゾルバ

DeathStalker APTの攻撃チェーンを詳しく見ると、ハッカーが侵害された添付ファイルを含むスピアフィッシングメールを介してメインツールを配信していることがわかります。添付ファイルはExplorerのドキュメントまたはアーカイブになりすましますが、代わりに破損したLNKファイルを運びます。疑いを持たないユーザーがそれらを実行すると、複雑な多段階チェーンが開始されます。初期段階では、バックグラウンドで行われているすべてのアクティビティをマスクし、疑惑をできるだけ少なくするために、おとり文書がユーザーに表示されます。永続性メカニズムは、VBEスタートアップスクリプトを実行するショートカットをWindowsスタートアップフォルダーに作成することによって確立されます。実際のマルウェアペイロードは、攻撃の第2段階でドロップされます。デッドドロップリゾルバーに接続して、実際のコマンドアンドコントロール（C＆C、C2）サーバーアドレスを取得します。通信が確立されると、Powersingは2つのことだけを担当します。システムのスクリーンショットを撮り、すぐにC2サーバーに送信し、C2によって提供されるPowershellスクリプトが実行されるのを待ちます。

PowersingがC2アドレスに到達する独特の方法は非常にユニークです。ハッカーは、投稿、コメント、レビュー、ユーザープロファイルなど、さまざまな公共サービスの初期データを含む文字列を残します。研究者は、Google +、Reddit、ShockChan、Tumblr、Twitter、YouTube、WordPress、Imgurでそのようなメッセージを発見しました。このような有名な公共サービスの使用は、トラフィックが通常生成されるトラフィックと簡単に混ざり合い、プラットフォームをブラックリストに登録することを決定した場合に企業が遭遇する可能性があるため、最初の通信の成功をほぼ保証します。ただし、ハッカーの痕跡を削除することはほぼ不可能になるため、ハッカーには欠点があります。その結果、研究者は、Powersing活動の最初の兆候が2017年に発生したことを確認できました。

Powersingと他のマルウェアファミリ間の接続

Powersingには、それほど一般的ではないいくつかの特有の特性があります。したがって、別のマルウェアファミリがほぼ同じ属性を持っていることが判明した場合、それらが同じハッカーグループによって開発されているか、脅威の攻撃者が緊密に連携しているというもっともらしい仮説が立てられます。ただし、Powersingに関しては、JanicabおよびEvilnumと呼ばれる他の2つのマルウェアファミリーとの間に類似点が見つかりました。

3つすべてが、スピアフィッシングメールによって伝播された添付ファイルに隠されたLNKファイルを介して配信されるという事実から始めましょう。確かに、これはかなり一般的な戦術ですが、3つすべてが、正規表現とハードコードされた文を使用したデッドドロップリゾルバーを介してC2アドレスを取得します。最後に、これらのマルウェアの脅威の間には、異なるコーディング言語で記述されているにもかかわらず、一部の変数や関数の名前が同じであるなど、コードの重複があります。