DeathStalker-hacking-gruppen er en for nylig opdaget malware-gruppe, der har vist sig at infiltrere små og mellemstore virksomheder over hele verden. Forskningen viser, at deres primære fokus er på virksomheder, der opererer i den finansielle sektor. Det dukkede op for første gang for et par år siden primært som en hacker-for-fire-gruppe og er nu vokset til et meget mere erfarent og farligt kollektiv.
Den erfarne DeathStalker Hacking Grou lancerer angreb på finansieringsselskaber overalt i verden
Informationssikkerhedsforskere viser, at DeathStalker-hacking-gruppen er den skyldige bag adskillige angrebskampagner med stor effekt. De ser ud til at være fokuseret på finansielle virksomheder verden over: de kendte kontinenter, der hidtil er blevet påvirket, inkluderer Europa, Asien og Latinamerika. Fra tilgængelige oplysninger det er tydeligt, at de har brugt deres samlede erfaring til at skabe succesrige hackingangreb.
Det, vi ved, er, at gruppen er blevet kontaktet af forskellige parter for at gennemføre indtrængen mod målnet til betaling. Disse kriminelle lejesoldater har været aktive siden 2018, muligvis endda 2012 og de kan være knyttet til andre hackinggrupper. De blev kendt for sikkerhedsfællesskabet takket være det PowerShell-baserede implantat, som har brugt kaldet Powersing. Det distribueres primært til målene via phishing-spam-e-mail-meddelelser som er klargjort og sendt i bulk. Ofrene modtager en LNK-fil i indholdet eller vedhæftede filer. Det er forklædt som en almindeligt kontordokument når den lanceres, kører den imidlertid den respektive Powersing-nyttelast. Det vil køre en meget kompleks infiltration i flere trin på det lokale system.
Analysen af prøverne viser, at implantatet installerer sig selv som en vedvarende virus – -den kører, når computeren er tændt, og gør det også vanskeligt at få adgang til gendannelsesmuligheder eller følge manuelle brugerfjernelsesguider. Det vil også omfatte en Trojan hest agent hvilket vil etablere en stærk forbindelse til en hacker-kontrolleret server og give hackerne mulighed for at overtage kontrollen over maskinerne.
Dette giver praktisk taget hackere mulighed for konstant at spionere på ofrene, herunder muligheden for automatisk at tage skærmbilleder af brugerens aktivitet og sendt det til ofrene. Det giver også mulighed for vilkårlig kode — dette tillader ikke kun forskellige typer systemændringer, men også muligheden for at implementere anden malware.
Under DeathStalker-hackingangreb afslører sikkerhedsanalysen, at hackerne har brugt flere offentlige tjenester som dead drop resolvers — ved hjælp af dem som indholdsværter kan hackerne instruere den eksterne malware til at udføre kommandoer eller give URL'er til malware-nyttelasten. De er kodet i almindelige meddelelser som almindelig kommunikation, men hver linje signalerer faktisk en skjult kode, som de lokale vira kan forstå. Det har vist sig, at Powersing PowerShell-scripterne bruger følgende:
Google , Imgur, Reddit, ShockChan, tumblr, Twitter, YouTube og WordPress
Eksperterne mener, at dette sofistikerede hackingværktøj fortsat vil udvikles og bruges i kommende angreb. Alt dette viser, at computerkriminelle er indstillet på at skabe komplekse måder at inficere så mange mål som muligt.