Die DeathStalker-Hacking-Gruppe ist eine kürzlich entdeckte Malware-Gruppe, die kleine und mittlere Unternehmen auf der ganzen Welt infiltriert. Die Forschung zeigt, dass ihr Hauptaugenmerk auf Einrichtungen liegt, die im Finanzsektor tätig sind. Es entstand vor einigen Jahren zum ersten Mal hauptsächlich als Hacker-for-Fire-Gruppe und hat sich mittlerweile zu einem viel erfahreneren und gefährlicheren Kollektiv entwickelt.
Erfahrener DeathStalker Hacking Grou startet Angriff auf Finanzunternehmen auf der ganzen Welt
Computersicherheitsforscher weisen darauf hin, dass die DeathStalker-Hacking-Gruppe der Schuldige für zahlreiche wirkungsvolle Angriffskampagnen ist. Sie scheinen konzentriert zu sein Finanzinstitute weltweit: Zu den bekannten Kontinenten, die bisher betroffen waren, gehört Europa, Asien und Lateinamerika. Von dem verfügbare Information Es ist offensichtlich, dass sie ihre gesammelten Erfahrungen genutzt haben, um erfolgreiche Hacking-Angriffe zu erstellen.
Was wir wissen ist, dass die Gruppe von verschiedenen Parteien kontaktiert wurde, um Eingriffe in Zielnetzwerke zur Zahlung durchzuführen. Diese kriminellen Söldner sind seitdem aktiv 2018, möglicherweise sogar 2012 und sie können mit anderen Hacking-Gruppen verknüpft sein. Sie wurden der Sicherheitsgemeinschaft dank des PowerShell-basierten Implantats bekannt, das als Call bezeichnet wurde Powersing. Es wird hauptsächlich über an die Ziele verteilt Phishing-SPAM-E-Mail-Nachrichten die in loser Schüttung vorbereitet und verschickt werden. Die Opfer erhalten eine LNK-Datei mit den Inhalten oder Anhängen. Es ist als getarnt reguläres Bürodokument Beim Start wird jedoch die entsprechende Powersing-Nutzlast ausgeführt. Es wird eine sehr komplexe mehrstufige Infiltration auf dem lokalen System ausführen.
Die Analyse der Proben zeigt, dass sich das Implantat als persistenter Virus – -Es wird ausgeführt, wenn der Computer eingeschaltet ist, und erschwert den Zugriff auf Wiederherstellungsoptionen oder das Befolgen manueller Anleitungen zum Entfernen von Benutzern. Es wird auch ein enthalten Trojanisches Pferd Agent Dadurch wird eine starke Verbindung zu einem von Hackern kontrollierten Server hergestellt und die Hacker können die Kontrolle über die Maschinen übernehmen.
Auf diese Weise können die Hacker die Opfer praktisch ständig ausspionieren, einschließlich der Möglichkeit, automatisch Screenshots der Benutzeraktivität zu erstellen und diese an die Opfer zu senden. Es erlaubt auch die Ausführung beliebigen Codes — Dies ermöglicht nicht nur verschiedene Arten von Systemänderungen, aber auch die Möglichkeit, andere Malware bereitzustellen.
Während des DeathStalker-Hacking-Angriffs zeigt die Sicherheitsanalyse, dass die Hacker mehrere öffentliche Dienste als genutzt haben Dead Drop Resolver — Wenn die Hacker sie als Inhaltshosts verwenden, können sie die Remote-Malware anweisen, Befehle auszuführen oder URLs für die Malware-Nutzdaten bereitzustellen. Sie werden in Klartextnachrichten als normale Kommunikation codiert, Aber jede Zeile signalisiert tatsächlich einen versteckten Code, den die lokalen Viren verstehen können. Es wurde festgestellt, dass die Powersing PowerShell-Skripte die folgenden verwenden:
Google , Imgur, Reddit, ShockChan, Tumblr, Zwitschern, YouTube und WordPress
Die Experten glauben, dass dieses ausgeklügelte Hacking-Tool weiterentwickelt und bei bevorstehenden Angriffen eingesetzt wird. All dies zeigt, dass Computerkriminelle komplexe Methoden entwickeln, um so viele Ziele wie möglich zu infizieren.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: