简介

据俄罗斯安全公司卡巴斯基（Kaspersky）称，一个名为DeathStalke的黑客组织正在全球范围内展开其网络间谍活动，主要针对金融科技公司、律师事务所和财务顾问。自2018年以来卡巴斯基（Kaspersky）的研究人员一直在追踪其攻击活动，并表示其可能在2012年就开始是活跃。研究人员Ivan Kwiatkowski、Pierre Delcher和Maher Yamout表示，DeathStalke的行为并非出于利益目的，他们不安装勒索软件、不窃取付款信息、也不从事与网络犯罪相关的任何类型的活动，但他们对收集敏感的商业机密的很有兴趣。这使得研究人员认为，DeathStalker是一群雇佣兵，即提供黑客出租服务。该组织因为使用恶意软件Powersing而被Kaspersky关注，Powersing为一个900行的PowerShell脚本，攻击者一直在努力地从杀毒软件中混淆该脚本。

DeathStalker主要针对金融行业的私营公司，包括律师事务所、财务咨询公司、金融技术公司等，但DeathStalker也曾攻击过一个外交机构。目前已经可以确定该组织在阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、中国台湾、土耳其、英国和阿拉伯联合酋长国。

攻击流程

首先，DeathStalker使用鱼叉式网络钓鱼电子邮件渗透受害者的网络：向目标组织的员工发送伪装成Microsoft Word文档的恶意LNK文件。

该文件是一种快捷方式，会显示PDF、DOC或DOCX格式的文档，使受害者认为他们打开了正常文件。其实，该文件可以启动系统的命令行解释器cmd.exe。当受害者打开该文件后就启动了一个复杂的流程，并最终导致在受害者的计算机上执行任意代码。

在该攻击流程中总共包含3个阶段：

• Stage 0：该阶段将提取并执行链中的下一个元素，并显示给用户嵌入到LNK文件中的诱饵文档，使其产生打开真实文档的错觉，并确保其不会生疑。
• Stage 1：是一个PowerShell脚本，其中包含C＃程序集，该程序集旨在连接到死点解析器，并通过在该快捷方式文件中提取DLL文件以及在固定偏移位置定位一个以base64编码的url列表，以解码该流程最后一部分的。
• Stage 2：为实际的恶意软件植入程序用于控制受害者的机器。它连接到一个死点解析器，以获取真实C＆C服务器的地址，并进入一个循环，每隔几秒钟查找一次订单。

在整个过程中，Powersing仅有两个任务，即定期捕获受害者屏幕截图并发送到C＆C服务器，以及执行从C＆C服务器下载的其他脚本，以便在受害者的机器上启动其它工具。

绕过检测

除了使用LNK之外，该组织还使用了被卡巴斯基称之为死点解析器（Dead Drop Resolver）的工具，Powersing利用其来绕过杀毒软件的检测。

Powersing本身不包含C＆C服务器的地址，相反，该程序会访问在公共平台上发布的帖子，并在这些帖子中读取乍一看似乎毫无意义的字符串。这些公共平台包括Google+、Imgur、Reddit、ShockChan、Tumblr、Twitter、YouTube和WordPress。这些帖子遵循以下模式：“My keyboard doesn’t work… [字符串].” 和 “Yo bro Ising [Base64加密字符串] yeah”。

实际上，这些都是加密的信息，其中，第一个字符串包含用于解码Stage 2的AES密钥，然后Stage 2将连接到该死点解析器以获得第二个字符串中的数字。恶意软件利用这些帖子可以拼凑出它需要的关键信息，比如访问哪些互联网服务器，以及应该使用什么密钥来解密其内容。

如下面的代码摘录所示，在将第2个字符串中的数字在转换为IP地址之前，其还会与一个任意常数（随样本而异）相除：

之后，经过解析得到的IP地址将被存储在用户的硬盘驱动器上，并用于建立与实际C＆C服务器的连接，攻击者使用该IP地址来控制Powersing。

依靠知名的公共服务，网络犯罪分子可以将最初的后门通信混入正常的网络流量中。这也阻碍了安全研究人员对其行动的检测和防御，因为这些社交平台通常不能被列入黑名单，而且从这些平台上删除内容也是一个复杂的过程。但同时，互联网的特性也使得网络犯罪分子很难消除他们活动的痕迹，通过搜索引擎索引和存档的数据，使得研究人员知道Powersing大约是在2017年8月左右首次被使用。

与其他恶意软件家族的关系

研究人员发现Powersing、Janicab和名为Evilnum的病毒之间有相似之处。

Janicab

创造Powersing这个名字的研究人员Sec0wn推测，该恶意软件可能与另一个名为Janicab的恶意软件家族有关，该家族至少可以追溯到2012年。卡巴斯基实验室的研究人员分析了AV提供商F-Secure在2015年发布的Janicab样本，以寻求其相似之处。

他们发现Janicab也使用相同的LNK和诱饵文件来访问计算机的命令应用程序。他们还注意到，Janicab与一个未上市的YouTube视频建立了连接。

并且，通过相同的方式，将在此页面上获得的整数除以常量并转换为IP地址，来获取C＆C服务器信息。

此外，这两个恶意软件都定期发送从桌面捕获的屏幕截图，它们都允许执行攻击者创建的脚本，并且都使用完全相同的列表MAC地址来检测安全研究人员可能在逆向工程中使用的虚拟机。

Janicab的最新版本（85ed6ab8f60087e80ab3ff87c15b1174）也涉及网络流量，在向其C＆C服务器注册时与Powersing十分相似。

Powersing registration  request (POST data)	Janicab  registration request
{  “un”: “[username]”,  “cn”: “[computer name]”,  “av”: “[installed AV program]”,  “dob”: “[OS installation date]”,  “os”: “[OS version]”,  “ou”: “[campaign identifier]”,  “dc”: “[version]”  }	GET/gid.php?action=add&cn=computername]&un=[username]&v=[version]&av=[installed AVprogram]&an=[campaign identifier]

并且，该样本的黑名单VM MAC地址列表与Powersing的样本也完全一样，顺序也相同。

Powersing’s blacklisted MAC addresses	Janicab’s blacklisted MAC addresses
virtual_mac_prefix.Add(“00015D”);	macs(0) = “00-01-5D”
virtual_mac_prefix.Add(“0003BA”);	macs(1) = “00-03-BA”
virtual_mac_prefix.Add(“000782”);	macs(2) = “00-07-82”
virtual_mac_prefix.Add(“000F4B”);	macs(3) = “00-0F-4B”
virtual_mac_prefix.Add(“00104F”);	macs(4) = “00-10-4F”
virtual_mac_prefix.Add(“0010E0”);	macs(5) = “00-10-E0”
virtual_mac_prefix.Add(“00144F”);	macs(6) = “00-14-4F”
virtual_mac_prefix.Add(“0020F2”);	macs(7) = “00-20-F2”
virtual_mac_prefix.Add(“002128”);	macs(8) = “00-21-28”
virtual_mac_prefix.Add(“0021F6”);	macs(9) = “00-21-F6”
virtual_mac_prefix.Add(“005056”);	macs(10) = “00-50-56”
virtual_mac_prefix.Add(“000C29”);	macs(11) = “00-0C-29”
virtual_mac_prefix.Add(“000569”);	macs(12) = “00-05-69”
virtual_mac_prefix.Add(“0003FF”);	macs(13) = “00-03-FF”
virtual_mac_prefix.Add(“001C42”);	macs(14) = “00-1C-42”
virtual_mac_prefix.Add(“00163E”);	macs(15) = “00-16-3E”
virtual_mac_prefix.Add(“080027”);	macs(16) = “08-00-27”
virtual_mac_prefix.Add(“001C14”);	macs(17) = “00-1C-14”
virtual_mac_prefix.Add(“080020”);	macs(18) = “08-00-20”
virtual_mac_prefix.Add(“000D3A”);	macs(19) = “00-0D-3A”
virtual_mac_prefix.Add(“00125A”);	macs(20) = “00-12-5A”
virtual_mac_prefix.Add(“00155D”);	macs(21) = “00-15-5D”
virtual_mac_prefix.Add(“0017FA”);	macs(22) = “00-17-FA”
virtual_mac_prefix.Add(“001DD8”);	macs(23) = “00-1D-D8”
virtual_mac_prefix.Add(“002248”);	macs(24) = “00-22-48”
virtual_mac_prefix.Add(“0025AE”);	macs(25) = “00-25-AE”
virtual_mac_prefix.Add(“0050C2”);	macs(26) = “00-50-C2”
virtual_mac_prefix.Add(“0050F2”);	macs(27) = “00-50-F2”
virtual_mac_prefix.Add(“444553”);	macs(28) = “44-45-53”
virtual_mac_prefix.Add(“7CED8D”);	macs(29) = “7C-ED-8D”

 

Evilnum

另一个与powersing有关系是新的Evilnum恶意软件家族， AV提供商Eset于7月详细介绍了这一家族。Evilnum也使用了基于LNK的感染链，以及相同的死点解析器和数学方式来获取C＆C服务器位置。

在受害者方面，Evilnum也专注于金融科技领域的公司，并且对商业机密比对财务收益更感兴趣，这与DeathStalker目标基本一致。

目前可以看出，Powersing、Janicab和Evilnum是三个基于脚本语言的工具链，但是它们具有以下相似之处：

• 都是通过鱼叉式网络钓鱼提供的存档中包含的LNK文件分发的。
• 都使用正则表达式和硬编码语句从死点解析器获取C＆C信息。
• IP地址以整数形式获得，然后在转换之前将其除以硬编码常量。
• 三个恶意软件家族代码之间有轻微重叠，可能表明它们是由同一个团队开发的，或者是在一个共享软件开发实践的团队中。
• 这三个恶意软件家族均具有截图捕获功能。尽管其本身并非原创，但通常不属于此类小组的开发重点，并且可能表示共享的设计规范

总结

该攻击链如今仍被威胁参与者积极使用和开发，如果其是与Janicab由同一个组织运营的，则表明他们自2012年以来就一直在利用类似的方法。

基于这些工具链展示的有限的技术手段，可以认为它们是由小型组织甚至个人创造的。像DeathStalker这样的组织比国家资助的APT组织更能代表当今大多数公司所面临的网络威胁。鉴于其持续开展的行动和自2018年以来的持续活动，可以推测，DeathStalker仍在开发其工具箱。

 

IoC

File  hashes
D330F1945A39CEB78B716C21B6BE5D82	Malicious  LNK
D83F933B2A6C307E17438749EDA29F02	Malicious  LNK
540BC05130424301A8F0543E0240DF1D	Malicious  LNK
3B359A0E279C4E8C5B781E0518320B46	Malicious  LNK
6F965640BC609F9C5B7FEA181A2A83CA	Malicious  LNK
E1718289718792651FA401C945C17079	Malicious  LNK
F558E216CD3FB6C23696240A8C6306AC	Malicious  LNK
B38D1C18CBCCDDDBF56FDD28E5E6ECBB	Loader  Script
E132C596857892AC41249B90EA6934C1	PowerSing  Stage 1
9A0F56CDACCE40D7039923551EAB241B	PowerSing  Stage 1
0CEBEB05362C0A5665E7320431CD115A	PowerSing  Stage 1
C5416D454C4A2926CA6128E895224981	PowerSing  Stage 1
DBD966532772DC518D818A3AB6830DA9	PowerSing  Stage 1
B7BBA5E70DC7362AA00910443FB6CD58	PowerSing  Stage 1
2BE3E8024D5DD4EB9F7ED45E4393992D	PowerSing  Stage 1
83D5A68BE66A66A5AB27E309D6D6ECD1	PowerSing  Stage 1
50D763EFC1BE165B7DB3AB5D00FFACD8	PowerSing  Stage 1

 

C&C servers
54.38.192.174	Powersing  C&C
91.229.76.17	Powersing  C&C
91.229.76.153	Powersing  C&C
91.229.77.240	Powersing  C&C
91.229.77.120	Powersing  C&C
91.229.79.120	Powersing  C&C
54.38.192.174	Powersing  C&C
105.104.10.115	Powersing  C&C

 

参考链接

[1]https://www.kaspersky.com/blog/deathstalker-powersing/36815/

[2]https://securelist.com/deathstalker-mercenary-triumvirate/98177/

[3]https://www.cbronline.com/news/attack-as-a-service-cyberspy-gang-deathstalker

[4]https://www.bankinfosecurity.com/deathstalker-hacking-group-expands-malware-arsenal-a-14889

[5]https://arstechnica.com/information-technology/2020/08/deathstalker-hackers-are-likely-older-and-more-prolific-than-we-thought/