I nostri esperti hanno individuato un gruppo di cybercriminali specializzato nel furto di segreti commerciali. A giudicare dagli obiettivi dei loro attacchi fino a questo momento, il gruppo è particolarmente interessato a compagnie fintech, studi legali e a società di consulenza finanziaria anche se, in almeno un’occasione, hanno anche attaccato un organismo diplomatico.
La propensione verso questo tipo di obiettivi potrebbe indicare che questo gruppo, nome in codice DeathStalker, stia cercando certe informazioni da vendere o per offrire un servizio di “attacco su richiesta”. In altre parole, stiamo parlando di mercenari.
Il gruppo DeathStalker è attivo dal 2018 o anche prima, probabilmente fin dal 2012. Ad attirare l’attenzione dei nostri esperti è stato l’uso di Powersing; le azioni più recenti hanno impiegato una metodologia simile.
L’attacco
Innanzitutto, i cybercriminali penetrano nella rete della vittima mediante lo spear phishing e poi inviano a un dipendente dell’azienda un file LNK dannoso che sembra essere un innocuo documento. Il file non è altro che uno shortcut che lancia l’interprete dei comandi del sistema, cdm.exe, e lo usa per eseguire uno script dannoso. La vittima visualizza un normale documento in formato PDF, DOC o DOCX e continua così l’illusione di aver aperto un normale file.
L’aspetto interessante è che il codice dannoso non contiene l’indirizzo del server Command & Control; il programma, invece, accede a un post presente su una piattaforma pubblica, dove legge una stringa di caratteri che a prima vista sembra senza senso. Di fatto, però, si tratta di informazioni cifrate che attivano la fase successiva dell’attacco. Questo tipo di tecnica è chiamata dead drop resolver.
Successivamente, i cybercriminali prendono il controllo del computer, collocano uno shortcut dannoso nella cartella di autorun (in questo modo, continua ad avviarsi nel sistema) e stabilisce una connessione con un vero server C&C (ma prima viene decodificato il suo indirizzo da un’altra stringa di caratteri anche questa volta apparentemente senza senso, pubblicata su un sito legittimo).
In sostanza, il malware Powersing effettua i seguenti due compiti: effettua periodicamente degli screenshot dal computer della vittima e li invia al server C&C; inoltre, esegue degli script Powershell aggiuntivi scaricati dal server C&C. In altre parole, il suo obiettivo è di guadagnare terreno nel dispositivo della vittima per attivare tool aggiuntivi.
Come vengono aggirati i meccanismi di sicurezza
In tutte le fasi, il malware impiega diversi metodi per superare le tecnologie di sicurezza e la tecnica impiegata dipende dall’obiettivo. Inoltre, se il malware individua una soluzione antivirus sul computer in questione, può anche cambiare strategia o persino disattivarsi per passare inosservato. I nostri esperti ritengono che i cybercriminali studino il proprio obiettivo per adattare e personalizzagli gli script per l’attacco.
La tecnica più curiosa di DeathStalker è l’uso di servizi di dominio pubblico per attivare il meccanismo di dead-drop-resolver. In sostanza, questi servizi permettono di custodire informazioni cifrate presso un certo indirizzo sotto forma di post accessibili a tutti, ma anche commenti, profili di utenti o descrizioni. Parliamo di post di questo tipo:
Insomma, non è altro che un trucco: in questo modo i cybercriminali provano a nascondere l’inizio di una comunicazione con il server C&C, facendo credere ai meccanismi di sicurezza che si tratta solo di un accesso a un sito pubblico. I nostri esperti hanno identificato casi in cui i cybercriminali hanno utilizzato per questo scopo servizi come Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube e WordPress. Ma sono solo pochi nomi di un elenco ben più lungo; tuttavia, è improbabile che le aziende blocchino l’accesso a tutti questi servizi.
Se volete avere maggiori informazioni su un possibile vincolo tra il gruppo DeathStalker, Janicab e Evilnum, oppure per i dettagli tecnici inerenti a Powersing, tra cui gli indicatori di compromissione, vi invitiamo a leggere il nostro post riguardanteDeathStalker su Securelist.
Come proteggere la vostra azienda da DeathStalker
Essere consapevoli delle tecniche adottate da questo gruppo e gli strumenti che utilizza ci aiuta a capire quali sono le minacce che si trova ad affrontare un’azienda di dimensioni contenute. Naturalmente, non stiamo parlando di un gruppo APT, né vengono adoperati trucchi complicati. In ogni caso, si tratta di strumenti modificati ad arte per superare il controllo delle soluzioni di sicurezza. I nostri esperti consigliano le seguenti misure di protezione:
- Prestate particolare attenzione ai processi lanciati da interpreti di linguaggi script, in particolare powershell.exe e cscript.exe. Se non avete una necessità di uso oggettiva per la vostra attività aziendale, meglio disattivarli;
- Prestate attenzione ad attacchi perpetrati mediante i file LNK via e-mail;
- Avvaletevi di tecnologie di protezione, comprese soluzioni EDR.
Nel nostro arsenale di difesa, vi offriamo una soluzione integrata che fa da Endpoint Protection Platform (EPP) ed Endpoint Detection and Response (EDR). Troverete maggiori informazioni in questa pagina .