揭开雇佣军团DeathStalker的面纱

  • A+
所属分类:安全新闻

揭开雇佣军团DeathStalker的面纱


简介

据俄罗斯安全公司卡巴斯基(Kaspersky)称,一个名为DeathStalke的黑客组织正在全球范围内展开其网络间谍活动,主要针对金融科技公司、律师事务所和财务顾问。自2018年以来卡巴斯基(Kaspersky)的研究人员一直在追踪其攻击活动,并表示其可能在2012年就开始是活跃。研究人员Ivan KwiatkowskiPierre DelcherMaher Yamout表示,DeathStalke的行为并非出于利益目的,他们不安装勒索软件、不窃取付款信息、也不从事与网络犯罪相关的任何类型的活动,但他们对收集敏感的商业机密的很有兴趣。这使得研究人员认为,DeathStalker是一群雇佣兵,即提供黑客出租服务。该组织因为使用恶意软件Powersing而被Kaspersky关注,Powersing为一个900行的PowerShell脚本,攻击者一直在努力地从杀毒软件中混淆该脚本。
DeathStalker主要针对金融行业的私营公司,包括律师事务所、财务咨询公司、金融技术公司等,但DeathStalker也曾攻击过一个外交机构。目前已经可以确定该组织在阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、中国台湾、土耳其、英国和阿拉伯联合酋长国。


攻击流程

首先,DeathStalker使用鱼叉式网络钓鱼电子邮件渗透受害者的网络:向目标组织的员工发送伪装成Microsoft Word文档的恶意LNK文件。

揭开雇佣军团DeathStalker的面纱

该文件是一种快捷方式,会显示PDFDOCDOCX格式的文档,使受害者认为他们打开了正常文件。其实,该文件可以启动系统的命令行解释器cmd.exe。当受害者打开该文件后就启动了一个复杂的流程,并最终导致在受害者的计算机上执行任意代码。

揭开雇佣军团DeathStalker的面纱

在该攻击流程中总共包含3个阶段:
  • Stage 0:该阶段将提取并执行链中的下一个元素,并显示给用户嵌入到LNK文件中的诱饵文档,使其产生打开真实文档的错觉,并确保其不会生疑。
  • Stage 1:是一个PowerShell脚本,其中包含C#程序集,该程序集旨在连接到死点解析器,并通过在该快捷方式文件中提取DLL文件以及在固定偏移位置定位一个以base64编码的url列表,以解码该流程最后一部分的。
  • Stage 2:为实际的恶意软件植入程序用于控制受害者的机器。它连接到一个死点解析器,以获取真实CC服务器的地址,并进入一个循环,每隔几秒钟查找一次订单。
在整个过程中,Powersing仅有两个任务,即定期捕获受害者屏幕截图并发送到CC服务器,以及执行从CC服务器下载的其他脚本,以便在受害者的机器上启动其它工具。


绕过检测

除了使用LNK之外,该组织还使用了被卡巴斯基称之为死点解析器(Dead Drop Resolver)的工具,Powersing利用其来绕过杀毒软件的检测。
Powersing本身不包含CC服务器的地址,相反,该程序会访问在公共平台上发布的帖子,并在这些帖子中读取乍一看似乎毫无意义的字符串。这些公共平台包括Google+ImgurRedditShockChanTumblrTwitterYouTubeWordPress。这些帖子遵循以下模式:“My keyboard doesn’t work… [字符串].” “Yo bro Ising [Base64加密字符串] yeah”

揭开雇佣军团DeathStalker的面纱

实际上,这些都是加密的信息,其中,第一个字符串包含用于解码Stage 2AES密钥,然后Stage 2将连接到该死点解析器以获得第二个字符串中的数字。恶意软件利用这些帖子可以拼凑出它需要的关键信息,比如访问哪些互联网服务器,以及应该使用什么密钥来解密其内容。
如下面的代码摘录所示,在将第2个字符串中的数字在转换为IP地址之前,其还会与一个任意常数(随样本而异)相除:

揭开雇佣军团DeathStalker的面纱

之后,经过解析得到的IP地址将被存储在用户的硬盘驱动器上,并用于建立与实际CC服务器的连接,攻击者使用该IP地址来控制Powersing
依靠知名的公共服务,网络犯罪分子可以将最初的后门通信混入正常的网络流量中。这也阻碍了安全研究人员对其行动的检测和防御,因为这些社交平台通常不能被列入黑名单,而且从这些平台上删除内容也是一个复杂的过程。但同时,互联网的特性也使得网络犯罪分子很难消除他们活动的痕迹,通过搜索引擎索引和存档的数据,使得研究人员知道Powersing大约是在20178月左右首次被使用。


与其他恶意软件家族的关系

研究人员发现PowersingJanicab和名为Evilnum的病毒之间有相似之处。

Janicab

创造Powersing这个名字的研究人员Sec0wn推测,该恶意软件可能与另一个名为Janicab的恶意软件家族有关,该家族至少可以追溯到2012年。卡巴斯基实验室的研究人员分析了AV提供商F-Secure2015年发布的Janicab样本,以寻求其相似之处。
他们发现Janicab也使用相同的LNK和诱饵文件来访问计算机的命令应用程序。他们还注意到,Janicab与一个未上市的YouTube视频建立了连接。

揭开雇佣军团DeathStalker的面纱

并且,通过相同的方式,将在此页面上获得的整数除以常量并转换为IP地址,来获取CC服务器信息。

揭开雇佣军团DeathStalker的面纱

此外,这两个恶意软件都定期发送从桌面捕获的屏幕截图,它们都允许执行攻击者创建的脚本,并且都使用完全相同的列表MAC地址来检测安全研究人员可能在逆向工程中使用的虚拟机。
Janicab的最新版本(85ed6ab8f60087e80ab3ff87c15b1174)也涉及网络流量,在向其CC服务器注册时与Powersing十分相似。
Powersing registration  request (POST data)
Janicab  registration request
{
 “un”: “[username]”,
 “cn”: “[computer name]”,
 “av”: “[installed AV program]”,
 “dob”: “[OS installation date]”,
 “os”: “[OS version]”,
 “ou”: “[campaign identifier]”,
 “dc”: “[version]”
 }
GET/gid.php?action=add&cn=computername]&un=[username]&v=[version]&av=[installed AVprogram]&an=[campaign identifier]
并且,该样本的黑名单VM MAC地址列表与Powersing的样本也完全一样,顺序也相同。
Powersing’s blacklisted MAC addresses
Janicab’s blacklisted MAC addresses
virtual_mac_prefix.Add(“00015D”);
macs(0) = “00-01-5D”
virtual_mac_prefix.Add(“0003BA”);
macs(1) = “00-03-BA”
virtual_mac_prefix.Add(“000782”);
macs(2) = “00-07-82”
virtual_mac_prefix.Add(“000F4B”);
macs(3) = “00-0F-4B”
virtual_mac_prefix.Add(“00104F”);
macs(4) = “00-10-4F”
virtual_mac_prefix.Add(“0010E0”);
macs(5) = “00-10-E0”
virtual_mac_prefix.Add(“00144F”);
macs(6) = “00-14-4F”
virtual_mac_prefix.Add(“0020F2”);
macs(7) = “00-20-F2”
virtual_mac_prefix.Add(“002128”);
macs(8) = “00-21-28”
virtual_mac_prefix.Add(“0021F6”);
macs(9) = “00-21-F6”
virtual_mac_prefix.Add(“005056”);
macs(10) = “00-50-56”
virtual_mac_prefix.Add(“000C29”);
macs(11) = “00-0C-29”
virtual_mac_prefix.Add(“000569”);
macs(12) = “00-05-69”
virtual_mac_prefix.Add(“0003FF”);
macs(13) = “00-03-FF”
virtual_mac_prefix.Add(“001C42”);
macs(14) = “00-1C-42”
virtual_mac_prefix.Add(“00163E”);
macs(15) = “00-16-3E”
virtual_mac_prefix.Add(“080027”);
macs(16) = “08-00-27”
virtual_mac_prefix.Add(“001C14”);
macs(17) = “00-1C-14”
virtual_mac_prefix.Add(“080020”);
macs(18) = “08-00-20”
virtual_mac_prefix.Add(“000D3A”);
macs(19) = “00-0D-3A”
virtual_mac_prefix.Add(“00125A”);
macs(20) = “00-12-5A”
virtual_mac_prefix.Add(“00155D”);
macs(21) = “00-15-5D”
virtual_mac_prefix.Add(“0017FA”);
macs(22) = “00-17-FA”
virtual_mac_prefix.Add(“001DD8”);
macs(23) = “00-1D-D8”
virtual_mac_prefix.Add(“002248”);
macs(24) = “00-22-48”
virtual_mac_prefix.Add(“0025AE”);
macs(25) = “00-25-AE”
virtual_mac_prefix.Add(“0050C2”);
macs(26) = “00-50-C2”
virtual_mac_prefix.Add(“0050F2”);
macs(27) = “00-50-F2”
virtual_mac_prefix.Add(“444553”);
macs(28) = “44-45-53”
virtual_mac_prefix.Add(“7CED8D”);
macs(29) = “7C-ED-8D”
 

Evilnum

另一个与powersing有关系是新的Evilnum恶意软件家族, AV提供商Eset7月详细介绍了这一家族。Evilnum也使用了基于LNK的感染链,以及相同的死点解析器和数学方式来获取CC服务器位置。


在受害者方面,Evilnum也专注于金融科技领域的公司,并且对商业机密比对财务收益更感兴趣,这与DeathStalker目标基本一致。
目前可以看出,PowersingJanicabEvilnum是三个基于脚本语言的工具链,但是它们具有以下相似之处:
  • 都是通过鱼叉式网络钓鱼提供的存档中包含的LNK文件分发的。
  • 都使用正则表达式和硬编码语句从死点解析器获取CC信息。
  • IP地址以整数形式获得,然后在转换之前将其除以硬编码常量。
  • 三个恶意软件家族代码之间有轻微重叠,可能表明它们是由同一个团队开发的,或者是在一个共享软件开发实践的团队中。
  • 这三个恶意软件家族均具有截图捕获功能。尽管其本身并非原创,但通常不属于此类小组的开发重点,并且可能表示共享的设计规范

总结

该攻击链如今仍被威胁参与者积极使用和开发,如果其是与Janicab由同一个组织运营的,则表明他们自2012年以来就一直在利用类似的方法。
基于这些工具链展示的有限的技术手段,可以认为它们是由小型组织甚至个人创造的。像DeathStalker这样的组织比国家资助的APT组织更能代表当今大多数公司所面临的网络威胁。鉴于其持续开展的行动和自2018年以来的持续活动,可以推测,DeathStalker仍在开发其工具箱。
 

IoC

File  hashes
D330F1945A39CEB78B716C21B6BE5D82
Malicious  LNK
D83F933B2A6C307E17438749EDA29F02
Malicious  LNK
540BC05130424301A8F0543E0240DF1D
Malicious  LNK
3B359A0E279C4E8C5B781E0518320B46
Malicious  LNK
6F965640BC609F9C5B7FEA181A2A83CA
Malicious  LNK
E1718289718792651FA401C945C17079
Malicious  LNK
F558E216CD3FB6C23696240A8C6306AC
Malicious  LNK
B38D1C18CBCCDDDBF56FDD28E5E6ECBB
Loader  Script
E132C596857892AC41249B90EA6934C1
PowerSing  Stage 1
9A0F56CDACCE40D7039923551EAB241B
PowerSing  Stage 1
0CEBEB05362C0A5665E7320431CD115A
PowerSing  Stage 1
C5416D454C4A2926CA6128E895224981
PowerSing  Stage 1
DBD966532772DC518D818A3AB6830DA9
PowerSing  Stage 1
B7BBA5E70DC7362AA00910443FB6CD58
PowerSing  Stage 1
2BE3E8024D5DD4EB9F7ED45E4393992D
PowerSing  Stage 1
83D5A68BE66A66A5AB27E309D6D6ECD1
PowerSing  Stage 1
50D763EFC1BE165B7DB3AB5D00FFACD8
PowerSing  Stage 1
 
C&C servers
54.38.192.174
Powersing  C&C
91.229.76.17
Powersing  C&C
91.229.76.153
Powersing  C&C
91.229.77.240
Powersing  C&C
91.229.77.120
Powersing  C&C
91.229.79.120
Powersing  C&C
54.38.192.174
Powersing  C&C
105.104.10.115
Powersing  C&C
 

参考链接

[1]https://www.kaspersky.com/blog/deathstalker-powersing/36815/
[2]https://securelist.com/deathstalker-mercenary-triumvirate/98177/
[3]https://www.cbronline.com/news/attack-as-a-service-cyberspy-gang-deathstalker
[4]https://www.bankinfosecurity.com/deathstalker-hacking-group-expands-malware-arsenal-a-14889
[5]https://arstechnica.com/information-technology/2020/08/deathstalker-hackers-are-likely-older-and-more-prolific-than-we-thought/

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: