Kaspersky monitora dal 2018 DeathStalker, un gruppo cybercriminale unico nel suo genere, che si concentra principalmente sul cyberspionaggio prendendo di mira studi legali e organizzazioni che operano nel settore finanziario. L'autore della minaccia è noto per la sua grande capacità di adattamento e per l'utilizzo di un approccio iterativo e veloce nella progettazione dei software, caratteristiche che lo rendono in grado di mettere in atto campagne efficaci.
Recenti ricerche hanno permesso a Kaspersky di collegare l'attività di DeathStalker a tre famiglie di malware: Powersing, Evilnum e Janicab, il che dimostra l’ampiezza dell'attività svolta dai gruppi almeno fin dal 2012. Mentre Powersing è stato rintracciato da Kaspersky nel 2018, le altre due famiglie sono state individuate da altri fornitori di soluzioni di sicurezza informatica. L'analisi di Kaspersky ha messo in evidenza le somiglianze di codici tra le tre famiglie di malware e nella scelta delle vittime; per questo motivo i ricercatori credono, con un certo livello di affidabilità, che ci sia un collegamento.
Le tattiche, le tecniche e le procedure messe in atto dagli autori della minaccia sono rimaste le stesse nel corso degli anni: si basano su email di spear-phishing realizzate su misura per consegnare archivi contenenti file malevoli. Quando l'utente clicca sullo shortcut, viene eseguito uno script malevolo e si procede così con il download di ulteriori componenti direttamente da Internet. Questo metodo consente agli attaccanti di ottenere il controllo del dispositivo della vittima.
Un esempio è l'uso di Powersing, basato su Power-Shell, il primo malware rilevato tra quelli usati da questo autore di cyberminacce. Una volta che il dispositivo della vittima è stato infettato, il malware è in grado di catturare regolarmente degli screenshot e anche di eseguire degli script di Powershell in modo arbitrario. Alternando diversi metodi di persistenza, a seconda della soluzione di sicurezza rilevata sul dispositivo infetto, il malware è in grado di eludere la detection. Questo dimostra così la capacità degli attaccanti nell’eseguire test di rilevamento prima di ogni campagna e nell’aggiornare poi gli script a seconda degli ultimi risultati ottenuti.
Nelle campagne che utilizzano Powersing, DeathStalker si avvale anche di un noto servizio pubblico per nascondere le prime comunicazioni backdoor nel traffico di rete legittimo, limitando così la capacità dei difensori di ostacolare le operazioni. Usando dei dead-drop resolvers, messaggi pubblicati su servizi web legittimi, quali social media, blog e siti con servizi di messaggistica, e contenenti informazioni per connettersi all’infrastruttura di comando e controllo, l’autore è stato in grado di eludere i rilevamenti e portare rapidamente a termine la campagna.
Una volta che le vittime venivano infettate, infatti, si rivolgevano proprio a questi dead-drop resolver, ma venivano reindirizzate direttamente da loro, nascondendo così la catena stessa delle comunicazioni.
L'attività di DeathStalker è stata rilevata in tutto il mondo, un dato che chiarisce anche la dimensione delle operazioni portate avanti dal gruppo. Attività legate a Powersing sono state individuate in Argentina, Cina, Cipro, Israele, Libano, Svizzera, Taiwan, Turchia, Regno Unito ed Emirati Arabi Uniti. Kaspersky ha localizzato anche vittime di Evilnum a Cipro, in India, Libano, Russia ed Emirati Arabi Uniti. Informazioni dettagliate sugli Indicatori di Compromissione relativi a questo gruppo, compresi gli hash di file e i server C2, sono disponibili online su Kaspersky Threat Intelligence Portal.