{"id":22609,"date":"2020-08-25T17:19:20","date_gmt":"2020-08-25T15:19:20","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22609"},"modified":"2020-08-25T17:19:20","modified_gmt":"2020-08-25T15:19:20","slug":"deathstalker-powersing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/deathstalker-powersing\/22609\/","title":{"rendered":"Il gruppo di cyberspionaggio DeathStalker e il suo set di strumenti"},"content":{"rendered":"

I nostri esperti hanno individuato un gruppo di cybercriminali <\/span>specializzato<\/span>\u00a0nel furto di segreti commerciali.\u00a0<\/span>A giudicare da<\/span>gli obiettivi d<\/span>ei loro attacchi fino a questo momento,\u00a0<\/span>il gruppo \u00e8 particolarmente interessato a compagnie fintech, studi legali e a societ\u00e0\u00a0di consulenza finanziaria anche se, in\u00a0<\/span>almeno un\u2019occasione, hanno anche attaccato un organismo diplomatico.<\/span>\u00a0<\/span><\/p>\n

La propensione verso questo tipo di obiettivi potrebbe indicare che questo gruppo, nome in codice\u00a0<\/span>DeathStalker<\/span>, stia cercando certe informazioni da vendere o per offrire\u00a0<\/span>un servizio di \u201cattacco su richiesta\u201d. In altre parole, stiamo parlando di mercenari.<\/span>\u00a0<\/span><\/p>\n

Il gruppo\u00a0<\/span>DeathStalker<\/span>\u00a0\u00e8 attivo dal 2018 o anche prima, probabilmente fin dal 2012. Ad attirare l\u2019attenzione dei nostri esperti \u00e8 stato l\u2019<\/span>u<\/span>so di\u00a0Powersing<\/span>; le azioni pi\u00f9 recenti hanno impiegato una metodologia simile.<\/span>\u00a0<\/span><\/p>\n

L\u2019attacco<\/span>\u00a0<\/span><\/h2>\n

Innanzitutto, i cybercriminali penetrano nella rete della vittima mediante lo\u00a0<\/span>spear phishing<\/span><\/a>\u00a0e poi inviano a un dipenden<\/span>te dell\u2019azienda<\/span>\u00a0un file LNK dannoso che sembra essere un\u00a0<\/span>innocuo\u00a0<\/span>docume<\/span>nto.<\/span>\u00a0Il file non \u00e8 altro che uno\u00a0<\/span>shortcut<\/span>\u00a0che lancia l\u2019interprete de<\/span>i comandi<\/span>\u00a0del sistema,\u00a0<\/span>cdm<\/span>.exe<\/span>,<\/span>\u00a0e\u00a0<\/span>lo usa per eseguire uno script dannoso. La vittima visualizza un normale documento in formato\u00a0<\/span>PDF, DOC o DOCX e continua cos\u00ec l\u2019illusione di aver aperto un normale file.<\/span>\u00a0<\/span><\/p>\n

L\u2019aspetto interessante \u00e8 che il codice dannoso non contiene l\u2019indirizzo del server\u00a0<\/span>C<\/span>ommand<\/span>\u00a0&\u00a0<\/span>C<\/span>ontrol; il programma<\/span>, invece,\u00a0<\/span>accede<\/span>\u00a0a un post presente su una piattaforma pubblica, dove legge una stringa di caratteri che a\u00a0<\/span>prima vista\u00a0<\/span>sembra\u00a0<\/span>senza senso<\/span>. Di fatto<\/span>, per\u00f2, si tratta di informazioni cifrate che attivano la fase successiva dell\u2019attacco. Questo tipo di tecnica \u00e8 chiamata\u00a0<\/span>dead drop\u00a0<\/span><\/i>resolver<\/span><\/i>.<\/span><\/i>\u00a0<\/span><\/p>\n

Successivamente, i cybercriminali prendono il controllo del computer, collocano uno\u00a0<\/span>shortcut<\/span>\u00a0dannoso nella cartella di\u00a0<\/span>autorun<\/span>\u00a0(in questo modo, continua ad avviarsi nel sistema) e stabilisce una\u00a0<\/span>connessione<\/span>\u00a0con un vero<\/span>\u00a0server C&C\u00a0<\/span>(ma prima viene decodificato il suo indirizzo da un\u2019altra stringa di caratteri anche questa volta apparentemente\u00a0<\/span>senza senso<\/span>, pubblicata su un sito legittimo).<\/span>\u00a0<\/span><\/p>\n

In sostanza, il malware\u00a0<\/span>Powersing<\/span>\u00a0effettua i seguenti due compiti:\u00a0<\/span>effettua<\/span>\u00a0periodicamente de<\/span>gli\u00a0<\/span>screenshot<\/span>\u00a0dal computer della vittima e\u00a0<\/span>l<\/span>i invia al server C&C; inoltre, esegue degli script\u00a0<\/span>Powershell<\/span>\u00a0aggiuntivi scaricati dal server C&C. In altre parole, il suo obiet<\/span>tivo \u00e8\u00a0<\/span>di guadagnare terreno nel dispositivo dell<\/span>a<\/span>\u00a0vittima per attivare tool aggiuntivi.<\/span>\u00a0<\/span><\/p>\n

Come vengono aggirati i meccanismi di sicurezza<\/span>\u00a0<\/span>\u00a0<\/span><\/h2>\n

In tutte le fasi, il malware impiega diversi metodi per superare le tecnologie di sicurezza e la tecnica impiegata dipende dall\u2019obiettivo. Inoltre,<\/span>\u00a0se il malware\u00a0<\/span>individua<\/span>\u00a0una soluzione antivirus sul computer in questione, pu\u00f2 anche cambiare strategi<\/span>a<\/span>\u00a0o persino disattivarsi per passare inosservato. I nostri esper<\/span>ti ritengono che i cybercriminali studino il proprio obiettivo per adattare e personalizzagli gli\u00a0script per\u00a0<\/span>l\u2019attacco<\/span>.<\/span>\u00a0<\/span><\/p>\n

La\u00a0<\/span>tecnica<\/span>\u00a0pi\u00f9 curiosa di\u00a0<\/span>DeathStalker<\/span>\u00a0\u00e8 l\u2019uso di servizi di\u00a0<\/span>dominio\u00a0<\/span>pubblic<\/span>o\u00a0<\/span>per attivare il meccanismo di dead-drop-<\/span>resolver<\/span>. In sostanza, questi servizi permettono di custodire informazioni cifrat<\/span>e presso un certo indirizzo sotto forma di post accessibili a tutti,\u00a0<\/span>ma anche\u00a0<\/span>commenti, profili di utenti o descrizioni. Parliamo di post di questo tipo:<\/span>\u00a0<\/span><\/p>\n

\"\"<\/span><\/p>\n

Insomma, non \u00e8 altro che un trucco: in questo modo i cybercriminali provano a nascondere l\u2019inizio di una comunicazione con il server C&C, facendo credere ai meccanismi di sicurezza che si tratta solo di un<\/span>\u00a0accesso a un sito pubblico. I nostri esperti hanno identificato casi in cui i cybercriminali hanno utilizzato per questo scopo ser<\/span>vizi come Google+,\u00a0<\/span>Imgur<\/span>,<\/span>\u00a0<\/span>Reddit,\u00a0<\/span>ShockChan<\/span>, Tumblr, Twitter, YouTube e WordPress. Ma sono solo pochi nomi di un elenco ben pi\u00f9 lungo; tuttavia, \u00e8 improbabile che le aziende blocchino l\u2019a<\/span>ccesso a tutti questi servizi.\u00a0<\/span>\u00a0<\/span><\/p>\n

Come proteggere la vostra azienda da\u00a0<\/span>DeathStalker<\/span>\u00a0<\/span><\/h2>\n

Essere consapevoli delle tecniche adottate da questo gruppo e gli strumenti che utilizza ci aiuta a capire quali sono le minacce che si trova ad affrontare un\u2019azienda di dimensioni contenute.\u00a0<\/span>N<\/span>atura<\/span>lmente<\/span>, non stiamo parlando di un gruppo APT, n\u00e9\u00a0<\/span>vengono adoperati\u00a0<\/span>trucchi complicati. In ogni caso, si tratta di strumenti modificati ad arte per superare\u00a0<\/span>il controllo delle soluzioni di sicurezza. I nostri esperti consigliano le seguenti misure di protezione:<\/span>\u00a0<\/span><\/p>\n

Se volete avere maggiori informazioni su un possibile vincolo tra il gruppo\u00a0<\/span>DeathStalker<\/span>,\u00a0<\/span>Janicab<\/span>\u00a0e\u00a0<\/span>Evilnum<\/span>, oppure per i dettagli<\/span>\u00a0tecnici inerenti a\u00a0<\/span>Powersing<\/span>, tra cui gli indicatori di compromissione, vi invitiamo a leggere\u00a0<\/span>il nostro post riguard<\/span>ante<\/span>DeathStalker su Secureli<\/span>st<\/span><\/a>.<\/span>\u00a0<\/span><\/p>\n