По данным специалистов «Лаборатории Касперского», как минимум с 2012 года группа DeathStalker занимается кибершпионажем против финансовых и юридических компаний малого и среднего бизнеса по всему миру, в том числе и в России. Главные цели злоумышленников — финтех-, инвестиционные и юридические компании. Российскими организациями группа DeathStalker заинтересовалась в текущем году.
Эксперты следят за деятельностью этой группы с 2018 года и отмечают, что сейчас она стала особенно активной. Ее тактики, техники и процедуры остаются неизменными, при этом не теряют эффективности со временем: заражение происходит через фишинговые письма, содержащие архивы с вредоносными файлами. Когда пользователь нажимает на ярлык (LNK), выполняется вредоносный скрипт и происходит загрузка малвари, в результате чего атакующие получают контроль над устройством жертвы.
Судя по целям и используемым инструментам, группа специализируется на краже данных, связанных с финансовой деятельностью компаний, трейдингом на различных площадках и инвестициями. Более того, исследователи полагают, что DeathStalker — это группа наемников, предлагающих услуги взлома по найму или действующих в качестве своеобразного информационного брокера в финансовых кругах.
Среди инструментов DeathStalker если такие вредоносные семейства, как Powersing, Evilnum и Janicab. Powersing — это имплант на базе PowerShell, которые позволяет делать скриншоты на зараженном устройстве и выполнять скрипты PowerShell. Малварь умеет избегать обнаружения защитными решениями: прежде чем начать атаку, злоумышленники проверяют с его помощью, могут ли они тайно выполнять действия в системе, а затем обновляют скрипты в соответствии с результатами проверки.
Кроме того, в атаках, которые осуществляются с применением Powersing, посредством известного сервиса в легитимный сетевой трафик внедряется бэкдор, что значительно ослабляет защитные возможности устройства. Далее атакующие размещают в легитимных социальных сетях, сервисах для ведения блогов и мессенджерах так называемые резолверы — зашифрованную информацию о настоящих командных центрах, чтобы иметь возможность быстро и незаметно совершить вредоносные действия. В частности, для этих целей хакеры используют Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube и WordPress. Все это серьезно затрудняет обнаружение настоящего командно-контрольного сервера.
«DeathStalker — это пример сложной атаки, представляющей собой угрозу для небольших частных фирм. Деятельность этой группы ярким образом подтверждает то, что малому и среднему бизнесу нужно инвестировать в защитные решения и тренинги для сотрудников. Учитывая, что цели находятся в разных странах и в основном это финтех-, инвестиционные и юридические компании, то, скорее всего, мы имеем дело с профессиональными кибернаемниками, выполняющими взломы на заказ, — комментирует Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — Для противодействия DeathStalker мы рекомендуем организациям по возможности ограничить или отключить возможность использования скриптовых языков, таких как powershell.exe и cscript.exe, а также объяснить сотрудникам на тренингах по кибербезопасности, что вредоносное ПО может передаваться через фишинг и рассказать, как можно этого избежать».
