Hakeru grupa "DeathStalker" atkal uzbrūk uzņēmumiem ar jaunu ļaunprogrammatūru "PowerPepper", novērojusi datordrošības kompānija "Kaspersky". Šoreiz viņi izmantojot jaunu ļaunprogrammatūras implantēšanas un piegādes taktiku.
"DeathStalker" ir sarežģītu mērķuzbrukumu izpildītājs, kas, domājams, piedāvā uzlaušanas pakalpojumus, lai no finanšu un juridiskā sektora uzņēmumiem zagtu konfidenciālu komercinformāciju. Viņu jaunais veikums "PowerPepper" ir novērota uzbrukumos lielākoties visā Eiropā, bet arī Amerikās un Āzijā. Iepriekš aprakstītajās kampaņās "DeathStalker" galvenokārt uzbruka juridisko konsultāciju firmām un organizācijām, kas sniedz finansiālus un kriptovalūtu pakalpojumus.
"PowerPepper" par sakaru kanālu izmanto DNS over HTTPS, lai paslēptu saziņu ar vadības serveri likumīga izskata datplūsmā. Turklāt "PowerPepper" izmanto vairākus izvairīšanās paņēmienus, tostarp steganogrāfiju jeb datu slēpšanas paņēmienu, secinājis "Kaspersky".
Tiek atzīmēts, ka "DeathStalker" ir ļoti neparasta sarežģītu mērķuzbrukumu izpildītāja. Vismaz kopš 2012. gada grupa veic mazu un vidēju uzņēmumu — juridisko firmu un finanšu sektora pārstāvju — izspiegošanas kampaņas. Atšķirībā no citām sarežģītu mērķuzbrukumu grupām, šķiet, šī nav politiski motivēta, kā arī nemeklē finansiālus ieguvumus no uzbrukumiem pakļautajiem uzņēmumiem. Drīzāk tā darbojas kā algotņi, kas par noteiktu cenu piedāvā hakeru pakalpojumus.
"Kaspersky" pētnieki nesen konstatējuši jaunas šīs grupas ļaunkampaņas, šoreiz izvietojot jaunu ļaunprogrammatūru, kas uzbrucējiem ļauj attāli pārņemt upura ierīces vadību, kas pazīstama ar nosaukumu "PowerPepper". Tāpat kā citi ar šo grupu saistītie ļaunprogrammatūru paveidi, arī "PowerPepper" parasti tiek izplatīta, izmantojot mērķpikšķerēšanas e-vēstules ar ļaundatnēm, kas tiek piegādātas e-vēstules pamattekstā vai ar ļaunprātīgu saiti. Lai ar viltu piespiestu upurus atvērt ļaunprātīgos dokumentus, grupa izmantoja starptautiskus notikumus, ogļskābās gāzes izmetes noteikumus un pat pandēmiju.
Galvenais ļaunvērtums tiek nomaskēts, izmantojot steganogrāfiju — procesu, kas uzbrucējiem ļauj slēpt datus likumīgā saturā.
"PowerPepper" gadījumā ļaunkods tiek iegults šķietami parastos paparžu vai piparu attēlos, un pēc tam izvilkts ar ielādētāja skriptu. Tiklīdz tas ir noticis, "PowerPepper" sāk izpildīt "DeathStalker" operatoru sūtītās attālās čaulas komandas, kuru nolūks ir nozagt konfidenciālu komercinformāciju. Uzbrukumam pakļautajā sistēmā ļaunprogrammatūra var izpildīt jebkuru čaulas komandu, tostarp veikt standarta datu izlūkošanu, piemēram, ievākt datora lietotāja un datņu informāciju, pārlūkot datņu kopīgošanu tīklā un lejupielādēt papildu binārās datnes vai pārkopēt saturu uz attālām vietām. Komandas pienāk no vadības servera, izmantojot DNS over HTTPS sakarus — tas ir efektīvs veids, kā ļaunprātīgu saziņu noslēpt aiz īstiem servera nosaukuma vaicājumiem.
Foto: Maskēts datorvīruss
Steganogrāfija ir tikai viens no vairākiem ļaunprogrammatūras izmantotajiem aizsegšanas un izvairīšanās paņēmieniem. Ielādētājs ir nomaskēts par "GlobalSign" pārbaudes rīku, tas izmanto pielāgotu aizsegšanu, un ļaunprātīgo piegādes skriptu daļas ir paslēptas "Word" iegultos objektos. Saziņa ar implantu un serveriem ir šifrēta, un, tā kā tiek izmantoti uzticami, parakstīti skripti, startēšanas laikā pretvīrusu programmatūra ne vienmēr atzīst implantu par ļaunprātīgu.
""PowerPepper" vēlreiz apliecina, ka "DeathStalker" ir radošs apdraudējumu izpildītājs, kas spēj īsā laikā konsekventi izstrādāt jaunus implantus un rīkķēdes. "PowerPepper" ir jau ceturtais ar šo izpildītāju saistītais ļaunprogrammatūru paveids, un mēs esam atraduši potenciālo piekto paveidu. Lai gan "DeathStalker" ļaunprogrammatūra nav sevišķi sarežģīta, tā ir izrādījusies visai efektīva, iespējams, tāpēc, ka tās galvenie upuri ir mazas un vidējas organizācijas, kam parasti ir mazāk spēcīgas drošības programmas. Mēs domājam, ka "DeathStalker" turpinās darbību, un mēs turpināsim novērot grupas kampaņas," sacījis "Kaspersky" drošības eksperts Pjērs Delšers.
Par "PowerPepper" un tā izvairīšanās paņēmieniem vairāk lasiet vietnē "Securelist".
Lai aizsargātu organizāciju no "PowerPepper" un tamlīdzīgiem uzbrukumiem, "Kaspersky" eksperti iesaka:
• Nodrošināt sava drošības vadības centra darbiniekiem piekļuvi jaunākajai informācijai par apdraudējumiem.
• Lai līdz minimumam samazinātu risku inficēties no pikšķerēšanas e-vēstulēm, uzņēmumiem ir jāizglīto darbinieki, izmantojot kiberdrošības higiēnas pamatu mācības, lai viņi piesardzīgi izturētos pret nepazīstamu sūtītāju e-vēstulēm. Ja viņi saņem šādas vēstules, nedrīkst atvērt pielikumus vai noklikšķināt uz saitēm tajās, iepriekš nepārliecinoties, ka vēstule ir īsta.
• Lai aizsargātu vidējos uzņēmumus no šādiem sarežģītiem uzbrukumiem, ieteicams izmantot galiekārtu drošības risinājumus ar noteikšanas un reaģēšanas funkcijām.
Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
