Die Cyberspionage-Gruppe DeathStalker und ihre Werkzeuge

Die DeathStalker-Gruppe nimmt relativ kleine Unternehmen und ihre Geschäftsgeheimnisse ins Visier.

Unsere Experten haben eine Gruppe von Cyberkriminellen identifiziert, die sich auf den Diebstahl von Geschäftsgeheimnissen spezialisiert hat. Nach ihren bisherigen Zielen zu urteilen, ist die Gruppe hauptsächlich daran interessiert, Fintech-Unternehmen, Anwaltskanzleien und Finanzberater anzugreifen, obwohl sie in mindestens einem Fall auch eine diplomatische Einheit angegriffen hat.

Eine solche Auswahl von Zielen kann darauf hindeuten, dass diese Gruppe, die den Codenamen DeathStalker trägt, entweder nach bestimmten Informationen sucht, die sie verkaufen will, oder einen „Angriff auf Anfrage“-Service anbietet. Mit anderen Worten, bei der Gruppe handelt es sich um eine Söldnergruppe.

Die DeathStalker-Gruppe ist seit 2018 oder früher und möglicherweise seit 2012 aktiv. Ihre Verwendung des Power-Shell-basierten Implantats Powersing hat die Aufmerksamkeit unserer Experten als erstes auf sich gezogen. Auch bei neueren Angriffen kommen ähnliche Methoden zum Einsatz.

Der Angriff

Zuerst dringen die Kriminellen mittels Spear-Phishing in das Netzwerk des Opfers ein, um dann eine als Dokument getarnte bösartige LNK-Datei an einen Mitarbeiter der Organisation zu senden. Bei der LNK-Datei handelt es sich um eine Verknüpfung, die den Kommandozeileninterpreter des Systems cmd.exe startet und zur Ausführung eines bösartigen Skripts zwingt. Dem Opfer wird ein bedeutungsloses Dokument im PDF-, DOC- oder DOCX-Format angezeigt, wodurch die Illusion entsteht, man habe nur eine normale Datei geöffnet.

Interessanterweise enthält der bösartige Code nicht die Adresse des C&C-Servers. Stattdessen greift das Programm auf einen Social-Media-Beitrag zu, der auf einer öffentlichen Plattform veröffentlicht wurde. Dort liest es eine Zeichenfolge, die auf den ersten Blick bedeutungslos erscheint. Doch tatsächlich handelt es sich um verschlüsselte Informationen, die die nächste Stufe des Angriffs aktivieren sollen. Diese Art von Taktik ist als Dead Drop Resolver bekannt.

In der nächsten Angriffsphase übernehmen die Angreifer die Kontrolle über den Computer, legen eine bösartige Verknüpfung im Autorun-Ordner ab (so dass er weiterhin auf dem System läuft) und stellen eine Verbindung mit dem echten C&C-Server her (allerdings erst, nachdem dieser seine Adresse aus einer scheinbar weiteren bedeutungslosen Zeichenfolge entschlüsselt hat, die auf einer harmlosen Website veröffentlicht wurde).

Im Wesentlichen erfüllt das Powersing-Implantat zwei Aufgaben: Es macht regelmäßig Screenshots auf dem Rechner des Opfers, sendet diese an den C&C-Server und führt zusätzliche Powershell-Skripte aus, die vom C&C-Server heruntergeladen werden. Mit anderen Worten versucht die Gruppe auf dem Rechner des Opfers Fuß zu fassen, um zusätzliche Tools zu starten.

Täuschung von Sicherheitsmechanismen

In allen Angriffsphasen nutzt diese Malware verschiedene Methoden, um Sicherheitstechnologien zu umgehen. Die Wahl der Methode hängt dabei immer vom jeweiligen Ziel ab. Außerdem kann die Malware, wenn sie auf dem Zielcomputer eine Antivirenlösung identifiziert, ihre Taktik ändern oder sich sogar selbst deaktivieren. Unsere Experten gehen davon aus, dass die Cyberkriminellen das Ziel zunächst analysieren, um ihre Skripte für jeden Angriff fein abzustimmen.

Aber die kurioseste Technik von DeathStalker ist die Nutzung öffentlicher Dienste als Dead-Drop-Resolver-Mechanismus. Im Wesentlichen ermöglichen diese Dienste das Speichern von verschlüsselten Informationen auf einer festen Adresse in Form von öffentlich zugänglichen Beiträgen, Kommentaren, Benutzerprofilen und Inhaltsbeschreibungen. So in etwa sieht ein solcher Beitrag aus:

Im Großen und Ganzen ist es nur ein Trick: Auf diese Weise versuchen Angreifer, den Beginn der Kommunikation mit dem C&C-Server zu verbergen, so dass die Schutzmechanismen glauben, jemand greife nur auf öffentliche Websites zu. Unsere Experten identifizierten Fälle, in denen Angreifer zu diesem Zweck Websites von Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube und WordPress verwendet haben. Und die obige Liste ist kaum vollständig. Dennoch ist es unwahrscheinlich, das Unternehmen den Zugriff auf diese Dienste verbietet.

Weitere Informationen über eine mögliche Verbindung zwischen der DeathStalker-Gruppe und der Malware Janicab und Evilnum sowie eine vollständige technische Beschreibung von Powersing, einschließlich Kompromittierungsindikatoren finden Sie im aktuellen Beitrag von Securelist über DeathStalker.

Wie Sie Ihr Unternehmen vor DeathStalker schützen

Die Beschreibung der Angriffsmethoden und Instrumente der Gruppe veranschaulicht gut, welchen Bedrohungen selbst ein relativ kleines Unternehmen in der modernen Welt ausgesetzt sein kann. Natürlich ist die Gruppe kaum ein APT-Akteur und sie verwendet keine besonders komplizierten Tricks. Ihre Werkzeuge sind jedoch darauf zugeschnitten, viele Sicherheitslösungen zu umgehen. Unsere Experten empfehlen die folgenden Schutzmaßnahmen:

  • Achten Sie besonders auf Prozesse, die von Interpretern von Skriptsprachen gestartet werden, insbesondere powershell.exe und cscript.exe. Wenn Sie sie nicht zur Ausführung von Geschäftsaufgaben benötigen, deaktivieren Sie sie.
  • Achten Sie auf Angriffe, die von LNK-Dateien verübt werden, die über E-Mail-Nachrichten verbreitet werden.
  • Verwenden Sie fortschrittliche Schutztechnologien, einschließlich Lösungen der EDR-Klasse.

Insbesondere haben wir eine integrierte Lösung in unserem Arsenal, die sowohl die Funktionen der Endpoint Protection Platform (EPP) als auch der Endpoint Detection and Response (EDR) übernehmen kann. Mehr darüber erfahren Sie hier.

 

Tipps