Перейти к содержанию

Кибершпионская группа DeathStalker и их инструменты

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Наши эксперты выявили активность киберпреступной группы, специализирующейся на краже коммерческих секретов. Судя по целям, они в основном интересуются финтех-компаниями, юридическими фирмами и финансовыми консультантами. Хотя как минимум в одном случае они атаковали дипломатическую организацию.

Такой выбор целей может говорить о том, что эти злоумышленники, получившие условное название DeathStalker, либо охотятся за какой-то информацией, чтобы затем выставить ее на продажу, либо предоставляют услугу «атака по заказу». То есть работают наемниками.

Группа действует как минимум с 2018 года, а возможно, и с 2012-го. Первым их инструментом, с которым столкнулись наши эксперты, был имплант Powersing. Однако и в более современных атаках DeathStalker использует те же подходы.

Как злоумышленники действуют

Изначально преступники проникают в сеть жертвы при помощи целевого фишинга, присылая кому-то из сотрудников вредоносный файл LNK, замаскированный под офисный документ. То есть по сути это ярлык, который ведет на системный интерпретатор командной строки cmd.exe и с его помощью выполняет вредоносный скрипт. Причем жертве демонстрируют бессмысленный документ в формате PDF, DOC или DOCX, что создает иллюзию нормального взаимодействия с файлом.

Интересно, что во вредоносном коде нет адреса командного сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки. Такая тактика носит название dead drop resolver.

В процессе выполнения следующего этапа злоумышленники захватывают контроль над компьютером, помещают очередной вредоносный ярлык в папку автозапуска (чтобы оставаться в системе после перезагрузки) и устанавливают связь с настоящим контрольным сервером (опять же, получив его адрес из бессмысленной строки в сообщении на легитимном сайте).

Имплант Powersing, по сути, может выполнять две задачи — периодически делать снимки экрана на машине жертвы и отправлять их на командный сервер, а также исполнять скачанные с командного сервера дополнительные скрипты PowerShell. То есть его цель — закрепиться на машине жертвы и служить для запуска дополнительных инструментов.

Методы обмана защитных технологий

На всех этапах это вредоносное ПО использует различные методы обхода защитных технологий. Причем эти методы варьируются в зависимости от цели. Более того, вредонос определяет, какое антивирусное решение установлено на компьютере жертвы, и в случае чего может сменить тактику или вообще отключиться. Наши эксперты предполагают, что перед каждой атакой злоумышленники изучают цель и подстраивают скрипты под нее.

Но самый любопытный метод, применяемый DeathStalker, — это как раз использование публичных сервисов в качестве механизма dead drop resolver. По сути, эти сервисы обеспечивают размещение по фиксированному адресу зашифрованной информации в публично доступных постах, комментариях, профилях пользователя, описании контента. Выглядит это примерно вот так:

По большому счету это тоже механизм обмана — так злоумышленники пытаются спрятать начало общения с командным сервером, замаскировав его под легитимное обращение к публичным сайтам. Наши эксперты обнаружили, что для этой цели они используют Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube и сайты на WordPress. Вряд ли это полный список. Как бы то ни было, маловероятно, что компании будут блокировать доступ ко всем этим сервисам.

Информацию о возможной связи группы DeathStalker с вредоносами Janicab и Evilnum, а также полное техническое описание Powersing вместе с индикаторами компрометации можно найти в блогпосте на сайте Securelist.

Как защитить компанию от DeathStalker

Описание методов и инструментов этой группы служит неплохой иллюстрацией того, с какими угрозами в современном мире может столкнуться даже относительно небольшая компания. Да, никаких особо сложных приемов они не используют. Однако их инструменты заточены под обход многих защитных решений. Наши эксперты рекомендуют защитникам:

  • Уделять особое внимание процессам, запускаемым интерпретаторами для скриптовых языков, в частности powershell.exe и cscript.exe. Если они объективно не нужны для выполнения бизнес-задач, то их лучше сделать недоступными.
  • Учит ывать возможность атак, которые начинаются с LNK-файлов в почте.
  • Использовать продвинутые защитные технологии, в том числе и решения класса EDR.

В частности, в нашем арсенале есть интегрированное решение, способное взять на себя функции и Endpoint Protection Platform (EPP), и Endpoint Detection and Response (EDR). Узнать о нем подробнее можно официальной странице.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Инструменты контейнерной безопасности и их польза для бизнеса
      От KL FC Bot
      Три из четырех организаций в мире используют гибридные облака, и три четверти из них называют свои проекты по миграции и обновлению ИТ успешными. Но что такое успех и как успешный ИТ-проект влияет на бизнес и возможности компании? Этим вопросом задались авторы исследования «Модернизация корпоративных приложений» и обобщили доступную информацию о том, как переход к облачной и контейнерной инфраструктуре повлиял на деятельность компаний, совершивших эту трансформацию.
      Экономические аргументы в пользу перехода получились весомые. В изученных организациях в среднем на 31% снизились операционные расходы на ИТ, а инфраструктурные затраты — на 45%, в том числе затраты на рутинное обслуживание уменьшаются на 52%. Что более важно — впервые за многие годы бизнесы смогли разгрузить свои ИТ-команды от задач по техподдержке старого кода в пользу новых разработок. В крупных организациях ИТ-службы тратят до 80% бюджета на поддержку legacy, и переход на современную разработку не только ее ускоряет, но и высвобождает дополнительные кадры для инноваций. Циклы обновлений ПО ускоряются в итоге на 65%, обеспечивая быструю реакцию на рыночные изменения и лучшее удовлетворение нужд пользователей.
      «Тремя китами» эффективности, которые отвечают за все эти радикальные улучшения, авторы называют переход на контейнерные и микросервисные архитектуры в облачной среде, а также автоматизированные сборочные конвейеры.
      Часть исследования посвящена вопросам информационной безопасности. Благодаря этому можно увидеть, какой вклад вносят различные инструменты ИБ в повышение эффективности ИТ-разработки и к каким показателям стоит стремиться в своей организации. Мы решили проанализировать основные принципы и инструменты и объяснить, как они реализованы в обновленной версии Kaspersky Cloud Workload Security.
      Автоматическое применение и отслеживание политик ИБ
      Ключевым вызовом для ИТ и ИБ является сохранение видимости и контроля над всеми ИТ-активами, и эта задача усложнилась с переходом на гибридные облачные инфраструктуры. Разнообразие активов и инструментов управления ими оборачивается для компании ростом расходов и затрат времени на менеджмент этого «зоопарка». Поэтому унификация управления, контроля соответствия (Compliance), создания и применения политик должна быть одной из приоритетных целей в проектах ИТ-трансформации. Если выбранный набор инструментов ИБ способен решать эту задачу в облачной инфраструктуре компании, службы ИТ и ИБ сэкономят 73% времени, затрачиваемого на менеджмент политик и достижение Security Compliance.
      Практическое воплощение этого принципа можно увидеть в новой версии Kaspersky Cloud Workload Security, решения, обеспечивающего комплексную защиту контейнерных инфраструктур, облачных серверов и виртуальных машин. Сразу несколько инструментов упрощают работу с политиками и дают администраторам централизованный обзор и управление всей инфраструктурой.
      Функция анализа безопасности оркестратора и его кластеров помогает быстро находить проблемы, структурируя их по типам проблем. Автоматическое профилирование контейнеров позволяет с минимальным участием людей улучшать политики безопасности, применяемые в инфраструктуре, а также находить аномально работающие контейнеры для детального анализа.
      Унифицированная облачная консоль Kaspersky Security для виртуальных и облачных сред дает общий обзор облачной или гибридной инфраструктуры и позволяет мгновенно обновлять политики для больших групп ИТ-активов или одновременно запускать на них задачи.
      Что касается виртуальных и физических серверов, то легкий агент, осуществляющий их защиту, выполняет несколько функций, связанных с Compliance и Security Posture, в автоматическом режиме: от автоматического патч-менеджмента и харденинга системы до детального протоколирования событий и применения ролевой системы управления доступом (RBAC).
       
      View the full article
    • Pavel Postnikov
      Не переносятся хосты в группу
      От Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • MiStr
      Группа Активисты: правила и заявки на вступление
      От MiStr
      В данной теме Администрация Клуба «Лаборатории Касперского» проводит приём заявок участников клуба на вступление в группу Активисты.
      .
      .
      КАК ВСТУПИТЬ?
      Набрать не менее 150 сообщений в разделах с включённым счётчиком сообщений. Иметь репутацию не ниже 50 пунктов. Иметь срок пребывания на форуме не менее 6 месяцев. Не иметь серьёзных нарушений, отмеченных в Центре предупреждений пользователя, за последние 6 календарных месяцев. Подать заявку на вступление в указанную группу. Вступление в группу добровольное. Администрация клуба может перевести пользователя в группу «Активисты» по своему усмотрению, даже если это противоречит правилам вступления. Заявки нужно подавать в этой теме с использованием шаблона: Прошу принять меня в группу Активисты.

      Количество сообщений: ХХХ из 150 необходимых.
      Репутация: ХХ из 50 необходимых.
      Непогашенные предупреждения, отмеченные в Центре предупреждений, за последние 6 месяцев отсутствуют.
      Дата регистрации ДД.ММ.ГГГГ, с момента регистрации прошло более 6 месяцев.
      .
      .
      ПРЕИМУЩЕСТВА
       
      Повышение статуса пользователя на форуме в качестве благодарности за активность. Скидка в Магазине сувениров — 15%. Свой закрытый раздел на форуме (общий для Активистов и Старожилов). Возможность получить Членский билет клуба. Увеличенные размер ящика личных сообщений и время редактирования своих сообщений по сравнению с группой «Участники». Получение беспроцентного кредита размером не более 1'000 баллов. Лимит на изменение репутации другим пользователям — до 35 пунктов в сутки.  
      .
      ОБЯЗАННОСТИ
       
      С уважением относиться ко всем гостям и членам клуба, вне зависимости от их опыта, возраста, национальной принадлежности, религиозных убеждений и иных предпочтений. Быть вежливыми, дисциплинированными и ответственными, следить за своим поведением, строго следовать положениям Устава и Правилам форума. Не производить действия, намерено направленные на создание негативной репутации клуба и «Лаборатории Касперского». Участвовать в жизни проекта (предлагать новые идеи, принимать участие во встречах, участвовать в продвижении клуба и продукции «Лаборатории Касперского»). Не разглашать информацию из закрытых разделов форума.  
      .
      ИСКЛЮЧЕНИЕ ИЗ ГРУППЫ
       
      Нахождение в группе «Активисты» возможно только при исполнении пользователем обязанностей своей группы, перечисленных в положениях Устава. В случае, если пользователь не выполняет всех обязанностей своей группы только последнее полугодие, он уведомляется, что может быть исключён из соответствующей группы. В случае, если пользователь находится в соответствующей группе менее трёх месяцев, проверка исполнения им обязанностей группы не производится. Исключение из группы возможно за грубое намеренное нарушение Правил форума или разглашение информации из закрытых разделов форума. Решение об исключении из группы «Активисты» принимается Советом клуба. Член группы «Активисты» переводится в группу «Участники». Совет клуба без объяснения причин может не исключать пользователя из группы, независимо от соблюдения им формальных критериев нахождения в группе.  
      .
      ПОВТОРНОЕ ВСТУПЛЕНИЕ
       
      Повторное вступление в группу «Активисты», снятую за разглашение закрытой информации, невозможно. Повторное вступление в группу «Активисты» производится по заявке Участника на общих основаниях. Для повторного вступления в группу «Активисты» необходимо иметь не менее 25 сообщений за последний месяц в разделах с включённым счётчиком сообщений. Повторное вступление в группу «Активисты» (повторная подача заявки в случае отклонения предыдущей) возможно не ранее, чем через 2 месяца после перевода в группу «Участники» или подачи предыдущей заявки. Вступать в группу «Активисты» можно неограниченное количество раз.  
      .
      ПЕРСПЕКТИВЫ
       
      Вступление в группу Старожилы.  
      .
      Вопрос-ответ:
      .
      .
      p.s. Поблагодарить Администрацию за перевод в группу вы можете плюсом в репутацию. Пожалуйста, не нужно писать отдельное сообщение. Здесь только заявки и решения по ним.
    • Evgenqr
      Kaspersky security center. Настроить доступ другому пользователю к определенной группе администрирования, а не ко всему Серверу администрирования
      От Evgenqr
      Добрый день, коллеги!
      Помогите решить проблему.
      Дано:  Kaspersky Security Center 14.2. В структуре Сервера администрирование 4 группы администрирования, допустим "Группа1""Группа2""Группа3""Группа4".
      Необходимо: выдать другому пользователю права администрирования только Группы4.
      Что делаю:
      1. захожу в Свойства Группы4
      2. вкладка Безопасность
      3. снимаю галку наследовать параметры
      4. добавляю пользователя Windows
      5. назначаю ему Роли ли Права
      6 сохраняю.
      7 при попытки подключения выдает ошибку: "Неудалось получить информацию о Сервере администрирования. Error "Access is denied" occured.
      Если добавить пользователя не в группе а в Сервере администрирования такой ошибке нет, но доступ ко всему серверу, а не к нужной группе.
      Можно ли давать доступ только к определенной группе или это технически не возможно?
    • Technician6
      Не переносятся компьютеры в группу.
      От Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
×
×
  • Создать...