Kupczyk Piotr 
Badacze z firmy Kaspersky po raz pierwszy informowali o aktywności tych najemników w sierpniu tego roku. Ugrupowanie znów działa, wykorzystując nowe szkodliwe narzędzie – backdoor określany przez firmę Kaspersky jako PowerPepper. Szkodnik stosuje również kilka technik unikania wykrycia, w tym steganografię (metodę ukrywania danych w plikach graficznych).
DeathStalker stanowi bardzo nietypowe ugrupowanie cyberprzestępcze. Działając od co najmniej 2012 r., gang ten przeprowadza kampanie szpiegowskie wymierzone w małe i średnie firmy – kancelarie prawne oraz podmioty z sektora finansowego. W przeciwieństwie do innych ugrupowań APT działania gangu nie są motywowane politycznie ani nie atakuje on konkretnych firm dla bezpośredniego zysku finansowego. DeathStalker składa się z najemników oferujących za opłatą swoje usługi hakerskie.
Badacze z firmy Kaspersky zidentyfikowali niedawno nowe szkodliwe kampanie przeprowadzone przez wspomniane ugrupowanie, w których wykorzystano nowego backdoora (szkodliwe oprogramowanie umożliwiające przejęcie zdalnej kontroli nad urządzeniem ofiary) o nazwie PowerPepper.
PowerPepper – podobnie jak inne powiązane z tym ugrupowaniem odmiany szkodliwego oprogramowania – PowerPepper jest zazwyczaj rozprzestrzeniany za pośrednictwem spersonalizowanych wiadomości phishingowych zawierających odsyłacze do szkodliwych plików lub zainfekowane załączniki. Aby skłonić potencjalne ofiary do otwarcia szkodliwych dokumentów, DeathStalker wykorzystuje międzynarodowe wydarzenia, przepisy dot. emisji dwutlenku węgla, a nawet pandemię.
W celu zamaskowania głównej szkodliwej funkcji stosowana jest steganografia – proces, który umożliwia ukrycie danych w legalnej treści graficznej. W przypadku backdoora PowerPepper szkodliwy kod jest osadzony w zwykłych obrazkach paproci lub papryczek (stąd nazwa), a następnie wyodrębniany przez skrypt modułu ładującego. Gdy to nastąpi, PowerPepper zaczyna wykonywać wysyłane przez operatorów zdalne polecenia, których celem jest kradzież wrażliwych informacji biznesowych. Szkodnik potrafi wykonać dowolne polecenie powłoki w atakowanym systemie, łącznie z gromadzeniem informacji o plikach i użytkowniku komputera, przeszukiwaniem zasobów sieciowych, jak również pobieraniem dodatkowych plików binarnych i kopiowaniem zawartości do zdalnych lokalizacji. Polecenia są uzyskiwane z serwera kontroli za pośrednictwem komunikacji DNS over HTTPS, która stanowi skuteczny sposób ukrycia szkodliwej komunikacji pod legalnymi zapytaniami o nazwy serwera.
Steganografia jest jedną z kilku technik zaciemniania i unikania wykrycia stosowanych przez omawianego szkodnika. Moduł ładujący jest zamaskowany jako narzędzie weryfikacji GlobalSign, wykorzystuje niestandardowe zaciemnianie, a elementy skryptów dostarczania szkodnika są ukryte w obiektach osadzonych w plikach Worda. Komunikacja między szkodliwym modułem a serwerami jest zaszyfrowana, a dzięki wykorzystaniu zaufanych, podpisanych skryptów wiele programów antywirusowych może nie rozpoznać szkodnika podczas uruchomienia.
PowerPepper został zidentyfikowany w atakach przeprowadzanych głównie w Europie, ale również w Ameryce Północnej i Południowej oraz Azji. W opisywanych wcześniej kampaniach DeathStalker atakował przeważnie kancelarie prawne oraz organizacje świadczące usługi finansowe lub związane z kryptowalutą.
PowerPepper po raz kolejny udowadnia, że DeathStalker to kreatywne cyberugrupowanie, potrafiące w krótkim czasie stworzyć nowe narzędzia oraz łańcuchy narzędzi. PowerPepper jest już czwartą odmianą szkodliwego oprogramowania powiązanego z tym ugrupowaniem. Prawdopodobnie wykryliśmy również piątą. Szkodliwe oprogramowanie ugrupowania DeathStalker, mimo że nie jest szczególnie wyrafinowane, okazało się dość skuteczne – być może dlatego, że jego celem są głównie małe i średnie organizacje, które zwykle posiadają słabsze systemy zabezpieczające. Spodziewamy się, że gang DeathStalker pozostanie aktywny, dlatego nadal będziemy monitorować jego działania – powiedział Pierre Delcher, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
PowerPepper był jednym z „bohaterów” ostatniego spotkania online „GReAT Ideas: Powered by Croissant. Baguette Edition”. Tę i inne prezentacje dotyczące najnowszych zagrożeń przygotowane przez czołowych ekspertów z firmy Kaspersky można obejrzeć tutaj: https://kas.pr/uy1e.
Szczegóły techniczne dotyczące szkodliwego programu PowerPepper są dostępne na stronie https://r.kaspersky.pl/YFTG4.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.
