O skupině DeathStalker informovali analytici společnosti Kaspersky poprvé letos v srpnu a nyní zaznamenali zvýšenou aktivitu hackerů, kteří využívají její infrastrukturu. Tentokrát využívají ke svým nekalým praktikám právě backdoor PowerPepper, který pro vzdálenou komunikaci s řídícím serverem zneužívá přenos DNS přes protokol HTTPS (aby tato komunikace vypadala jako legitimní). Malware PowerPepper využívá ke své infiltraci několik různých technik, včetně steganografie (způsobu, jak ukrývat data).
DeathStalker je v oblasti APT velmi neobvyklou skupinou. Aktivní je minimálně od roku 2012 a svoje špionážní kampaně cílí především na malé a střední podniky, konkrétně právní kanceláře a firmy, které se pohybují ve finančním sektoru. Na rozdíl od jiných APT skupin u ní není zjevná politická motivace nebo touha po zisku od společností, které napadá. Spíše jedná jako zprostředkovatel, který nabízí svoje hackerské dovednosti za úplatu třetím stranám. Právě k tomu nyní začala využívat nový backdoor PowerPepper. Ten se stejně jako jiné druhy malwaru spojované se skupinou DeathStalker šíří prostřednictvím spearphishingových e-mailů se škodlivými přílohami nebo škodlivými odkazy přímo v těle zprávy. Skupina k jeho šíření zneužila různé mezinárodní události, například úpravy předpisů o emisích uhlíku a dokonce i pandemii COVID-19, aby přiměla své oběti k otevření škodlivých dokumentů.
Nemusí ho odhalit ani antivirový software
Hlavní část škodlivého kódu je ukryta pomocí steganografie – procesu, který útočníkům umožňuje skrýt data mezi legitimní obsah zprávy. V případě viru PowerPepper je škodlivý kód vložen do zdánlivě běžných obrázků kapradí nebo paprik (odtud název tohoto malwaru) a poté je extrahován skriptem zavaděče. Jakmile k tomu dojde, PowerPepper začne plnit příkazy zasílané přes vzdálený řídící server operátory skupiny DeathStalker. Cílem této operace je ukrást citlivé obchodní informace. Malware může provádět jakýkoli shellový příkaz v cílovém systému, včetně příkazů pro standardní průzkum dat, jako je shromažďování informací o uživateli a souborech v počítači, procházení souborů sdílených na síti a stahování dalších binárních knihoven nebo kopírování obsahu do vzdálených úložišť. Příkazy přichází z řídícího serveru prostřednictvím komunikace DNS přes HTTPS (DoH), což je velmi efektivní způsob, jak zamaskovat škodlivou komunikaci a vydávat ji za legitimní dotazy na název serveru.
Využití steganografie je však jen jednou z několika technik maskování a úniků před zraky napadané firmy, které malware používá. Zavaděč je maskovaný jako ověřovací nástroj GlobalSign (poskytovatel služeb ověřování identity), používá vlastní způsob krytí a části škodlivých doručovacích skriptů jsou skryty v objektech vložených do Wordu. Komunikace odnože (implantovaného kódu) se servery je šifrována a díky využití důvěryhodných podepsaných skriptů ji nemusí jako škodlivou aktivitu odhalit ani antivirový software.
Případy útoků malwaru PowerPepper se objevily především v Evropě, ale také v Americe a Asii. V již dříve popsaných škodlivých kampaních se skupina DeathStalker zaměřovala především na poradenské firmy a organizace, které poskytují finanční služby nebo se věnují obchodování s kryptoměnami.
Cílí na firmy, které nemají tak robustní zabezpečení
„Malware PowerPepper opět potvrzuje, že DeathStalker je velmi kreativním tvůrcem hrozeb – umí během krátké doby vyvinout nové odnože a řetězce nástrojů (tzv. toolchains) pro své útoky. PowerPepper je již čtvrtým kmenem malwarů, které jsou spojené s touto skupinou. Nyní jsme objevili dokonce i další, pátý potenciální kmen. Přesto, že malwary skupiny DeathStalket nejsou zase až tak sofistikované, ukazuje se, že jsou poměrně dost účinné. Možná proto, že jejich primárními cíli jsou malé a střední podniky, tedy organizace, které používají méně robustní zabezpečení. Předpokládáme, že skupina DeathStalker bude nadále aktivní a proto bude její kampaně i nadále monitorovat,“ říká Pierre Delcher, bezpečnostní expert ve společnosti Kaspersky.