Перейти к содержанию

Кибершпионская группа DeathStalker и их инструменты

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Наши эксперты выявили активность киберпреступной группы, специализирующейся на краже коммерческих секретов. Судя по целям, они в основном интересуются финтех-компаниями, юридическими фирмами и финансовыми консультантами. Хотя как минимум в одном случае они атаковали дипломатическую организацию.

Такой выбор целей может говорить о том, что эти злоумышленники, получившие условное название DeathStalker, либо охотятся за какой-то информацией, чтобы затем выставить ее на продажу, либо предоставляют услугу «атака по заказу». То есть работают наемниками.

Группа действует как минимум с 2018 года, а возможно, и с 2012-го. Первым их инструментом, с которым столкнулись наши эксперты, был имплант Powersing. Однако и в более современных атаках DeathStalker использует те же подходы.

Как злоумышленники действуют

Изначально преступники проникают в сеть жертвы при помощи целевого фишинга, присылая кому-то из сотрудников вредоносный файл LNK, замаскированный под офисный документ. То есть по сути это ярлык, который ведет на системный интерпретатор командной строки cmd.exe и с его помощью выполняет вредоносный скрипт. Причем жертве демонстрируют бессмысленный документ в формате PDF, DOC или DOCX, что создает иллюзию нормального взаимодействия с файлом.

Интересно, что во вредоносном коде нет адреса командного сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки. Такая тактика носит название dead drop resolver.

В процессе выполнения следующего этапа злоумышленники захватывают контроль над компьютером, помещают очередной вредоносный ярлык в папку автозапуска (чтобы оставаться в системе после перезагрузки) и устанавливают связь с настоящим контрольным сервером (опять же, получив его адрес из бессмысленной строки в сообщении на легитимном сайте).

Имплант Powersing, по сути, может выполнять две задачи — периодически делать снимки экрана на машине жертвы и отправлять их на командный сервер, а также исполнять скачанные с командного сервера дополнительные скрипты PowerShell. То есть его цель — закрепиться на машине жертвы и служить для запуска дополнительных инструментов.

Методы обмана защитных технологий

На всех этапах это вредоносное ПО использует различные методы обхода защитных технологий. Причем эти методы варьируются в зависимости от цели. Более того, вредонос определяет, какое антивирусное решение установлено на компьютере жертвы, и в случае чего может сменить тактику или вообще отключиться. Наши эксперты предполагают, что перед каждой атакой злоумышленники изучают цель и подстраивают скрипты под нее.

Но самый любопытный метод, применяемый DeathStalker, — это как раз использование публичных сервисов в качестве механизма dead drop resolver. По сути, эти сервисы обеспечивают размещение по фиксированному адресу зашифрованной информации в публично доступных постах, комментариях, профилях пользователя, описании контента. Выглядит это примерно вот так:

По большому счету это тоже механизм обмана — так злоумышленники пытаются спрятать начало общения с командным сервером, замаскировав его под легитимное обращение к публичным сайтам. Наши эксперты обнаружили, что для этой цели они используют Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube и сайты на WordPress. Вряд ли это полный список. Как бы то ни было, маловероятно, что компании будут блокировать доступ ко всем этим сервисам.

Информацию о возможной связи группы DeathStalker с вредоносами Janicab и Evilnum, а также полное техническое описание Powersing вместе с индикаторами компрометации можно найти в блогпосте на сайте Securelist.

Как защитить компанию от DeathStalker

Описание методов и инструментов этой группы служит неплохой иллюстрацией того, с какими угрозами в современном мире может столкнуться даже относительно небольшая компания. Да, никаких особо сложных приемов они не используют. Однако их инструменты заточены под обход многих защитных решений. Наши эксперты рекомендуют защитникам:

  • Уделять особое внимание процессам, запускаемым интерпретаторами для скриптовых языков, в частности powershell.exe и cscript.exe. Если они объективно не нужны для выполнения бизнес-задач, то их лучше сделать недоступными.
  • Учит ывать возможность атак, которые начинаются с LNK-файлов в почте.
  • Использовать продвинутые защитные технологии, в том числе и решения класса EDR.

В частности, в нашем арсенале есть интегрированное решение, способное взять на себя функции и Endpoint Protection Platform (EPP), и Endpoint Detection and Response (EDR). Узнать о нем подробнее можно официальной странице.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Pavel Postnikov
      Не переносятся хосты в группу
      От Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • MiStr
      Группа Активисты: правила и заявки на вступление
      От MiStr
      В данной теме Администрация Клуба «Лаборатории Касперского» проводит приём заявок участников клуба на вступление в группу Активисты.
      .
      .
      КАК ВСТУПИТЬ?
      Набрать не менее 150 сообщений в разделах с включённым счётчиком сообщений. Иметь репутацию не ниже 50 пунктов. Иметь срок пребывания на форуме не менее 6 месяцев. Не иметь серьёзных нарушений, отмеченных в Центре предупреждений пользователя, за последние 6 календарных месяцев. Подать заявку на вступление в указанную группу. Вступление в группу добровольное. Администрация клуба может перевести пользователя в группу «Активисты» по своему усмотрению, даже если это противоречит правилам вступления. Заявки нужно подавать в этой теме с использованием шаблона: Прошу принять меня в группу Активисты.

      Количество сообщений: ХХХ из 150 необходимых.
      Репутация: ХХ из 50 необходимых.
      Непогашенные предупреждения, отмеченные в Центре предупреждений, за последние 6 месяцев отсутствуют.
      Дата регистрации ДД.ММ.ГГГГ, с момента регистрации прошло более 6 месяцев.
      .
      .
      ПРЕИМУЩЕСТВА
       
      Повышение статуса пользователя на форуме в качестве благодарности за активность. Скидка в Магазине сувениров — 15%. Свой закрытый раздел на форуме (общий для Активистов и Старожилов). Возможность получить Членский билет клуба. Увеличенные размер ящика личных сообщений и время редактирования своих сообщений по сравнению с группой «Участники». Получение беспроцентного кредита размером не более 1'000 баллов. Лимит на изменение репутации другим пользователям — до 35 пунктов в сутки.  
      .
      ОБЯЗАННОСТИ
       
      С уважением относиться ко всем гостям и членам клуба, вне зависимости от их опыта, возраста, национальной принадлежности, религиозных убеждений и иных предпочтений. Быть вежливыми, дисциплинированными и ответственными, следить за своим поведением, строго следовать положениям Устава и Правилам форума. Не производить действия, намерено направленные на создание негативной репутации клуба и «Лаборатории Касперского». Участвовать в жизни проекта (предлагать новые идеи, принимать участие во встречах, участвовать в продвижении клуба и продукции «Лаборатории Касперского»). Не разглашать информацию из закрытых разделов форума.  
      .
      ИСКЛЮЧЕНИЕ ИЗ ГРУППЫ
       
      Нахождение в группе «Активисты» возможно только при исполнении пользователем обязанностей своей группы, перечисленных в положениях Устава. В случае, если пользователь не выполняет всех обязанностей своей группы только последнее полугодие, он уведомляется, что может быть исключён из соответствующей группы. В случае, если пользователь находится в соответствующей группе менее трёх месяцев, проверка исполнения им обязанностей группы не производится. Исключение из группы возможно за грубое намеренное нарушение Правил форума или разглашение информации из закрытых разделов форума. Решение об исключении из группы «Активисты» принимается Советом клуба. Член группы «Активисты» переводится в группу «Участники». Совет клуба без объяснения причин может не исключать пользователя из группы, независимо от соблюдения им формальных критериев нахождения в группе.  
      .
      ПОВТОРНОЕ ВСТУПЛЕНИЕ
       
      Повторное вступление в группу «Активисты», снятую за разглашение закрытой информации, невозможно. Повторное вступление в группу «Активисты» производится по заявке Участника на общих основаниях. Для повторного вступления в группу «Активисты» необходимо иметь не менее 25 сообщений за последний месяц в разделах с включённым счётчиком сообщений. Повторное вступление в группу «Активисты» (повторная подача заявки в случае отклонения предыдущей) возможно не ранее, чем через 2 месяца после перевода в группу «Участники» или подачи предыдущей заявки. Вступать в группу «Активисты» можно неограниченное количество раз.  
      .
      ПЕРСПЕКТИВЫ
       
      Вступление в группу Старожилы.  
      .
      Вопрос-ответ:
      .
      .
      p.s. Поблагодарить Администрацию за перевод в группу вы можете плюсом в репутацию. Пожалуйста, не нужно писать отдельное сообщение. Здесь только заявки и решения по ним.
    • Evgenqr
      Kaspersky security center. Настроить доступ другому пользователю к определенной группе администрирования, а не ко всему Серверу администрирования
      От Evgenqr
      Добрый день, коллеги!
      Помогите решить проблему.
      Дано:  Kaspersky Security Center 14.2. В структуре Сервера администрирование 4 группы администрирования, допустим "Группа1""Группа2""Группа3""Группа4".
      Необходимо: выдать другому пользователю права администрирования только Группы4.
      Что делаю:
      1. захожу в Свойства Группы4
      2. вкладка Безопасность
      3. снимаю галку наследовать параметры
      4. добавляю пользователя Windows
      5. назначаю ему Роли ли Права
      6 сохраняю.
      7 при попытки подключения выдает ошибку: "Неудалось получить информацию о Сервере администрирования. Error "Access is denied" occured.
      Если добавить пользователя не в группе а в Сервере администрирования такой ошибке нет, но доступ ко всему серверу, а не к нужной группе.
      Можно ли давать доступ только к определенной группе или это технически не возможно?
    • Technician6
      Не переносятся компьютеры в группу.
      От Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • KL FC Bot
      Безопасное использование ИИ-инструментов дома и на работе | Блог Касперского
      От KL FC Bot
      Взрывной рост приложений, сервисов и плагинов для работы с искусственным интеллектом (ИИ), произошедший в прошлом году, очевидно, будет лишь ускоряться. ИИ внедряют в давно привычные инструменты — от офисных программ и графических редакторов до сред разработки вроде Visual Studio. Все, кому не лень, создают тысячи новых приложений, обращающихся к крупнейшим ИИ-моделям. Но в этой гонке пока никто не сумел решить проблемы безопасности — не организовать полноценную защиту от футуристического «злого ИИ», а хотя бы минимизировать проблемы с утечкой конфиденциальных данных или выполнением хакерских действий на ваших аккаунтах и устройствах через разнообразные ИИ-инструменты. Пока не придумано готовых коробочных решений для защиты пользователей ИИ-ассистентов, придется кое-чему подучиться и помочь себе самостоятельно.
      Итак, как воспользоваться ИИ и не пожалеть об этом?
      Фильтруйте важные данные
      Политика конфиденциальности OpenAI, компании-разработчика ChatGPT, вполне недвусмысленно уведомляет, что все диалоги с чат-ботом сохраняются и могут быть использованы для нескольких целей. Во-первых, для решения технических проблем или работы с нарушениями: вдруг кому-нибудь — удивительно! — придет в голову сгенерировать недопустимый контент? В этом случае чаты может даже посмотреть живой человек. Во-вторых, эти данные могут быть использованы для обучения новых версий GPT и других «усовершенствований продукта».
      Большинство других популярных языковых моделей, будь то Bard от Google, Claude или разновидности ChatGPT от Microsoft (Bing, Copilot и так далее), имеют схожие политики: все они могут сохранять диалоги целиком.
       
      Посмотреть статью полностью
×
×
  • Создать...