Die APT-Gruppe DeathStalker spioniert seit mindestens 2012 kleine und mittelständische Unternehmen im Finanzsektor aus. Die jüngsten Kaspersky-Untersuchungen zeigen, dass DeathStalker Firmen in der Schweiz sowie auf der ganzen Welt ins Visier genommen hat. (…)
DeathStalker hat sich speziell auf Cyberspionage gegen Anwaltskanzleien und Organisationen im Finanzsektor spezialisiert. Der Bedrohungsakteur ist in hohem Maße anpassungsfähig und zeichnet sich dadurch aus, dass er einem iterativen, schnellen und flexiblen Ansatz beim Software-Design folgt. So kann DeathStalker effektiv Kampagnen durchzuführen.
Individuelles Aktivitätsspektrum erschwert Erkennung
Kaspersky-Kaspersky Experten waren nun in der Lage, die Aktivitäten von DeathStalker mit den drei Malware-Familien Powersing, Evilnum und Janicab in Verbindung zu bringen, was das breite Aktivitätsspektrum der Gruppe seit mindestens 2012 belegt. Während Kaspersky Powersing bereits 2018 identifizieren konnte, wurden Erkenntnisse über Evilnum und Janicab von anderen Cybersicherheitsanbietern gemeldet. Die Analyse von Code-Ähnlichkeiten und Viktimologie zwischen den drei Malware-Familien ermöglichte es, sie mit mittlerer Wahrscheinlichkeit in Verbindung zu bringen.
Die Taktiken, Techniken und Vorgehensweisen der Gruppe blieben über die Jahre unverändert: Sie nutzt individuelle Spear-Phishing-Mails, um Archive mit schädlichen Dateien auszuliefern. Klickt ein Nutzer den Shortcut dazu an, wird ein schädliches Skript ausgeführt und lädt weitere Komponenten aus dem Internet nach. Auf diese Weise erhalten die Angreifer die Kontrolle über das infizierte Gerät.
Powersing, ein Power-Shell-basiertes Implantat, war die erste Malware, die diesem Bedrohungsakteur zugeordnet werden konnte. Sobald der Computer eines Opfers infiziert wurde, kann die Malware Screenshots erstellen und beliebige Powershell-Skripts ausführen. Mit alternativen Persistenz-Methoden, die individuell auf die eingesetzte Sicherheitslösung eines infizierten Geräts zugeschnitten sind, entgeht die Malware einer Erkennung. DeathStalker führt damit vor jeder Kampagne Erkennungstests durch und aktualisiert die Skripte entsprechend.
Bei Powersing-Angriffen nutzt DeathStalker zudem einen bekannten öffentlichen Dienst, um die anfängliche Backdoor-Kommunikation in den legitimen Netzwerkverkehr zu integrieren. Dies schränkt die Möglichkeit, eine solche Operation zu behindern, effektiv ein. Durch den Einsatz von Dead-Drop-Resolvern – Unmengen von Informationen, die auf eine zusätzliche Kommando- und Kontrollinfrastruktur hinweisen, die in einer Vielzahl legitimer sozialer Medien, Blogging- und Messaging-Dienste platziert wurden – konnte DeathStalker einer Erkennung entgehen und eigene Kampagnen schnell zum Abschluss bringen. Sobald die Opfer infiziert sind, wenden sie sich an diese Resolver und werden von ihnen umgeleitet, wodurch die Kommunikationskette verborgen bleibt.
Unternehmen weltweit von DeathStalker betroffen
Aktionen von DeathStalker wurden auf der ganzen Welt entdeckt. Powersing-Aktivitäten konnten in Argentinien, China, Zypern, Israel, Libanon, der Schweiz, Taiwan, der Türkei, dem Vereinigten Königreich und den Vereinigten Arabischen Emiraten festgestellt werden. Kaspersky fand darüber hinaus Evilnum-Opfer in Zypern, Indien, Libanon, Russland und den Vereinigten Arabischen Emiraten. Ausführliche Informationen über Indicators of Compromise im Zusammenhang mit dieser Gruppe – einschließlich Datei-Hashes und C2-Server – können über das Kaspersky Threat Intelligence Portal abgerufen werden.
“DeathStalker ist ein Paradebeispiel für einen Bedrohungsakteur, gegen den sich Organisationen des privaten Sektors zur Wehr setzen müssen”, betont Ivan Kwiatkowski, Sicherheitsexperte bei Kaspersky. “Während wir uns oft auf die Aktivitäten von APT-Gruppen konzentrieren, erinnert uns DeathStalker daran, dass auch Organisationen, die traditionell nicht zu den sicherheitsbewusstesten gehören, wissen müssen, dass sie zur Zielscheibe werden können. Darüber hinaus gehen wir aufgrund der kontinuierlichen Aktivitäten davon aus, dass DeathStalker durch den Einsatz immer neuer Mittel auch weiterhin für Organisationen weltweit eine Bedrohung bleiben wird. Dieser Akteur ist ein weiterer Beweis dafür, dass auch kleine und mittlere Unternehmen in Sicherheits- und Bewusstseinsschulungen investieren müssen. Um vor DeathStalker geschützt zu bleiben, raten wir Organisationen, die Möglichkeit zur Verwendung von Skriptsprachen wie powershell.exe und cscript.exe zu deaktivieren, wo immer dies möglich ist. Wir empfehlen auch, dass künftige Awareness-Schulungen und Bewertungen von Sicherheitsprodukten Infektionsketten auf der Basis von LNK-Dateien (Shortcut-Files) einbeziehen.”
Tipps zum Schutz vor zielgerichteten Bedrohungen
- Das Security Operations Center (SOC)-Team sollte stets Zugang zu den neuesten Threat Intelligence (TI)-Daten haben. Das Kaspersky Threat Intelligence Portal ist zentraler Zugangspunkt auf die TI eines Unternehmens und bietet Cyberangriffsdaten und Erkenntnisse, die Kaspersky in über mehr als 20 Jahre gesammelt hat.
- Einen umfassenden Endpoint-Schutz wie etwa Kaspersky Integrated Endpoint Security implementieren. Dieser kombiniert Endpunktsicherheit mit Sandbox- und EDR-Funktionalität und ermöglicht so einen effektiven Schutz vor fortschrittlichen Bedrohungen und sofortige Transparenz über die, auf den Endpoints von Unternehmen und Organisationen erkannten, maliziösen Aktivitäten.
- Unternehmen sollten Mitarbeiter regelmäßig schulen, damit diese über die aktuellen Taktiken und Techniken von Cyberkriminellen informiert sind. Schulungsprogramme wie Kaspersky Automated Security Awareness Platform helfen dabei.
Weitere Informationen:
Die vollständige Analyse zu DeathStalker ist hier verfügbar.
Weitere Details und Informationen über die Aktivitäten dieser APT-Gruppe im kommenden, auf Englisch gehaltenen Webinar von Kaspersky: “GReAT Ideas. Powered by SAS: advancing on new fronts – tech, mercenaries and more”, am 26. August um 16 Uhr. Zur kostenfreien Anmeldung: https://kas.pr/v1oj
www.kaspersky.com/de