Los hackers DeathStalker son (probablemente) mayores y más prolíficos de lo que pensábamos

En 2018, los investigadores de la empresa de seguridad Kaspersky Lab comenzaron a rastrear a «DeathStalker», el nombre de un grupo de piratas informáticos contratados que empleaban malware simple pero eficaz para espiar bufetes de abogados y empresas financieras. Ahora, los investigadores han vinculado al grupo con otras dos piezas de malware, incluida una que data de al menos 2012.

DeathStalker llamó la atención de Kaspersky por el uso de malware que un compañero investigador denominó «Powering». El malware recibió su nombre de un script de PowerShell de 900 líneas que los atacantes hicieron todo lo posible para ocultarlo del software antivirus.

Los ataques comenzaron con correos electrónicos de suplantación de identidad con archivos adjuntos que parecían documentos, pero, a través de un truco que involucraba archivos LNK, en realidad eran scripts maliciosos. Para evitar que los objetivos fueran sospechosos, Powersing mostró un documento falso tan pronto como los objetivos hicieron clic en el archivo adjunto.

Además del truco LNK, Powersing también trató de eliminar AV usando «solucionadores muertos». De hecho, eran publicaciones en las redes sociales que el malware utilizaba para recopilar en secreto información crucial que necesitaba, como a qué servidores de Internet acceder y qué claves deberían usarse para descifrar su contenido. El Tweet a continuación es solo uno de los solucionadores de puntos muertos que usó.

La primera cadena contenía la clave AES para descifrar el código, que luego encontraría un entero codificado en la segunda cadena. El código luego dividiría el número completo por una constante controlada por el atacante para llegar a la dirección IP donde la computadora infectada debería informar.

Índice de contenidos

Internet nunca olvida

«Tener servicios públicos conocidos permite a los ciberdelincuentes combinar las comunicaciones de puerta trasera iniciales con el tráfico de red legítimo», escribieron los investigadores de Kaspersky Lab, Ivan Kwiatkowski, Pierre Delcher y Maher Yamout, en una publicación publicada el lunes. Continuaron:

También limita lo que los defensores pueden hacer para interrumpir sus operaciones, ya que estas plataformas generalmente no se pueden bloquear a nivel de la empresa, y eliminar el contenido de ellas puede ser un proceso difícil y que requiere mucho tiempo. Sin embargo, esto tiene un precio: Internet nunca se olvida y también es difícil para los ciberdelincuentes eliminar los rastros de sus operaciones. Gracias a los datos indexados o archivados por los motores de búsqueda, estimamos que Powersing se utilizó por primera vez alrededor de agosto de 2017.

El investigador que acuñó el nombre Powersing especuló que el malware puede estar vinculado a una familia diferente de malware, conocida como Janicab, que se remonta al menos a 2012. Los investigadores de Kaspersky Lab analizaron una muestra de Janicab publicada en 2015 por el proveedor de antivirus F -Seguro.

Descubrieron que Janicab también usaba el mismo LNK y trucos de documentos señuelo para acceder a la aplicación de comando de una computadora. También notaron que Janicab hizo conexiones a un video de YouTube no listado que usaba la misma matemática completa para obtener información del servidor de control. Otras similitudes: ambas partes del malware enviaban periódicamente capturas de pantalla capturadas desde el escritorio, ambas permitían la ejecución de scripts creados por el atacante y ambas usaban precisamente la misma lista de direcciones MAC para detectar máquinas virtuales que los investigadores de seguridad pueden usar en ingeniería inversa. .

Entra Evilnum

Los investigadores de Kaspersky Lab examinaron una familia más reciente de malware, conocida como Evilnum, que el proveedor de antivirus Eset detalló el mes pasado, que informó de otra cadena de infección basada en LNK. Kaspersky Lab descubrió que utilizaba el mismo solucionador de eliminación y los trucos matemáticos de los números enteros para obtener las ubicaciones del servidor de control. Otras similitudes fueron variables con nombres similares o idénticos, objetivos superpuestos.

La publicación del lunes resumió las similitudes de esta manera:

  • Los tres se distribuyen a través de archivos LNK contenidos en archivos entregados mediante spear-phishing
  • Obtienen información de C&C de drop solvers usando expresiones regulares y frases codificadas.
  • Las direcciones IP se obtienen en forma de números enteros que se dividen por una constante codificada antes de convertirse
  • Las pequeñas superposiciones de código entre las tres familias de malware pueden indicar que fueron desarrolladas por el mismo equipo o dentro de un grupo que comparte prácticas de desarrollo de software.
  • Las tres familias de malware tienen capacidades de captura de pantalla. Aunque no es original en sí mismo, generalmente no es parte de las prioridades de desarrollo de dichos grupos y puede ser indicativo de una especificación de diseño compartida.
  • Finalmente, aunque no tenemos mucha información sobre la victimología de Janicab, Powersing y Evilnum buscan inteligencia empresarial, aunque en diferentes sectores de la industria. Ambos conjuntos de actividades son consistentes con la hipótesis de que son realizadas por un grupo de mercenarios

Las similitudes no son de ninguna manera un arma humeante, dijeron los investigadores, pero juntas dan a los investigadores una «confianza promedio» de que Powersing, Janicab y Evilnum son operados por el mismo grupo.

«En esta publicación de blog, describimos una cadena de infección moderna que todavía es utilizada y desarrollada activamente por un actor de amenazas en la actualidad», concluyen los investigadores. “No contiene trucos innovadores ni métodos sofisticados, y ciertos componentes de la cadena pueden parecer innecesariamente complicados. Sin embargo, si la hipótesis es correcta de que el mismo grupo opera Janicab y Powersing, esto indica que han estado usando las mismas metodologías desde 2012. En el mundo de la seguridad de la información, no está más ‘probado y comprobado’ que eso. »