DeathStalker: espionagem contra pequenas e médias empresas
Pesquisa da Kaspersky mostra que campanha visa escritórios de advocacia e organizações financeiras e que há registros de atividades desde, pelo menos, 2012



 Os especialistas da Kaspersky publicaram detalhes da atividade do DeathStalker, grupo de "mercenários" que usam uma ameaça persistente avançada (APT) para espionar pequenas e médias empresas do setor financeiro desde, pelo menos, 2012. As descobertas demonstram que o grupo tem atacado empresas em todo o mundo, desde a Europa à América Latina, o que evidencia a importância da implementação de medidas de cibersegurança em organizações com estruturas de segurança limitadas.

O DeathStalker é um grupo de aluguel que a Kaspersky rastreia desde 2018. Especializado em ciberespionagem contra escritórios de advocacia e organizações financeiras, esse grupo é conhecido pela sua alta adaptabilidade, e por usar uma abordagem interativa e rápida para desenvolvimento de software, o que torna o DeathStalker capaz de executar campanhas eficazes.

As recentes investigações da Kaspersky ligaram a atividade do DeathStalker a três famílias de malware - Powersing, Evilnum e Janicab -, o que mostra que a atividade do grupo está em prática desde, pelo menos, 2012. Embora o Powersing seja rastreado pelo fornecedor de segurança desde 2018, as outras duas famílias de malware foram reportadas por outros empresas de cibersegurança. A análise das semelhanças de código e perfil das vítimas entre as três famílias de malware permitiu aos analistas vinculá-los uns aos outros, com um grau de confiança médio.

As táticas, técnicas e procedimentos do grupo especializado em ciberameaças permaneceram inalterados ao longo dos anos: para entregar arquivos maliciosos, utilizam mensagens de phishing personalizadas. Quando a vítima clica no anexo, um script malicioso é executado e descarrega outros componentes do golpe. Isso permite que os atacantes ganhem controle sobre o computador atacado.

Um dos exemplos é a utilização do Powersing, um implante baseado no Power-Shell, que foi o primeiro malware detectado deste grupo especializado. Assim que o sistema da vítima é infectado, o malware é capaz de armazenar capturas de tela e executar outros scripts Powershell. Ele ainda utiliza diferentes métodos para se manter escondido no sistema, dependendo da solução de segurança que ele detecta no dispositivo infectado, o que demonstra a capacidade do grupo para realizar testes de detecção antes de cada campanha e atualizar os scripts de acordo com os resultados mais recentes.

Nas campanhas que utilizam Powersing, o DeathStalker emprega também um serviço público bem conhecido para se misturar às comunicações iniciais de backdoor no tráfego legítimo da rede, limitando, assim, a capacidade de detectar suas operações. Ao utilizar os "dead-drop resolvers" - anfitriões de informação que apontam para infraestruturas adicionais de comando e controle -, colocados numa variedade de meios de comunicação social legítimos, blogs e serviços de mensagens, o grupo consegue evitar a detecção e encerrar rapidamente uma campanha. Uma vez infectadas, as vítimas seriam contatadas e redirecionadas por estes resolvers, ocultando assim a cadeia de comunicação.




"O DeathStalker é um excelente exemplo de grupo especializado contra o qual as organizações do setor privado precisam se defender. Embora, frequentemente, nos concentremos em atividades de campanhas contra grandes empresas, o DeathStalker lembra-nos de que todas organizações precisam estar cientes que podem ser vítimas desses grupos especilizados. Além disso, a julgar pela atividade contínua, acreditamos que o DeathStalker continue a ser uma ameaça que utilizará novas ferramentas para manter seu ataque eficiente contra pequenas e médias organizações. Ele, de certa forma, é a prova de que as PMEs precisam investir em segurança e treinamentos de conscientização", afirma Ivan Kwiatkowski, pesquisador de segurança sênior da Kaspersky.

O analista aconselha as empresas a, sempre que possível, não utilizar as linguagens de scripting, tais como powershell.exe e cscript.exe. "Também recomendamos que, ao analisarem futuramente as soluções, verifiquem se elas protegem contra infecções baseadas em arquivos LNK (shortcut)", acrescenta Kwiatkowski.

A atividade do DeathStalker foi detectada em todo o mundo, o que demonstra a dimensão das suas operações. Foram identificadas atividades relacionadas com Powersing na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos. A Kaspersky também localizou vítimas do Evilnum no Chipre, Índia, Líbano, Rússia, e Emirados Árabes Unidos. Mais informações sobre os Índices de Compromisso deste grupo, incluindo hashes de arquivos e servidores C2, estao disponíveis no Kaspersky Threat Intelligence Portal .

A fim de evitar ser vítima de um ataque direcionado, os especialistas da Kaspersky recomendam:

• Proporcionar à equipe de Security Operations Center (SOC) o acesso às últimas informações sobre ciberameaças. O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a equipe de TI e segurança consultem dados de ciberataques e tenham insights recolhidos pela Kaspersky ao longo de mais de 20 anos.

• Certificar que a proteção correta de endpoints está em vigor, como, por exemplo, a solução Kaspersky Endpoint Security . Ela combina a proteção com a funcionalidade sandbox e EDR, permitindo uma proteção eficaz contra ameaças avançadas e visibilidade imediata sobre a atividade maliciosa detectada nos dispositivos da empresa.

• Como muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, é essencial o treinamento de conscientização sobre segurança para toda a equipe. O Kaspersky Automated Security Awareness Platform pode ajudar.