DeathStalker, epeyce sıradışı bir APT oyuncusu olarak dikkat çekiyor. En az 2012’den beri faal olan küme, küçük ve orta ölçekli işletmelere – hukuk firmalarına ve finans bölümüne – karşı casusluk kampanyaları yürütüyor. Öbür APT kümelerinden farklı olarak politik olarak motive görünmüyorlar yahut hedefledikleri şirketlerden mali çıkar beklemiyorlar. Bilakis, paralı asker üzere davranarak bilgisayar korsanlığı hizmetlerini kiralama modeliyle belirli bir fiyata sunuyorlar.
Kaspersky araştırmacıları kısa müddet evvel kümenin yeni berbat hedefli kampanyalarını ortaya çıkardı ve bu sefer PowerPepper olarak bilinen yeni bir art kapıyı (saldırganların kurbanın aygıtının denetimini uzaktan ele geçirmesine imkan tanıyan berbat maksatlı yazılım) kullandıklarını keşfetti.
Kümeyle bağlı öteki berbat gayeli yazılım cinsleri üzere, PowerPepper da ekseriyetle amaç kimlik avı e-postaları aracılığıyla, e-posta gövdesi aracılığıyla yahut makûs hedefli bir irtibat içinde teslim edilen berbat gayeli belgeler aracılığıyla yayılıyor. Küme, kurbanlarını makûs niyetli evrakları açmak üzere kandırmak için milletlerarası olayları, karbon emisyon düzenlemelerini ve hatta pandemiyi kullanıyor.
Ana makûs maksatlı yük, saldırganların yasal içerik ortasında dataları gizlemesine imkan tanıyan bir süreç olan steganografi kullanılarak gizleniyor. PowerPepper, makûs emelli kodu eğrelti otu olağan biber fotoğrafları üzere görünen evraklara yerleştiriyor ve bu kodlar yükleyici komut evrakı tarafından çıkarılıyor. Bu gerçekleştiğinde PowerPepper, DeathStalker operatörleri tarafından uzaktan gönderilen, hassas iş odaklı bilgileri çalmayı amaçlayan komutları yürütmeye başlıyor. Makus gayeli yazılım, hedeflenen sistemde bilgisayarın kullanıcı ve evrak bilgilerini toplama, ağ evrak paylaşımlarına göz atma ve ek ikili evraklar indirme yahut içeriği uzak pozisyonlara kopyalama üzere standart bilgi keşfi için olanlar da dahil olmak üzere rastgele bir komutu gerçekleştirebiliyor. Denetim sunucusundan gönderilen komutlar HTTPS üzerinden DNS aracılığıyla alınıyor. Bu teknik, yasal sunucu ismi sorgularının gerisindeki berbat niyetli bağlantıları gizlemede epeyce tesirli.
Steganografinin kullanımı, berbat gayeli yazılım tarafından kullanılan şaşırtma ve kaçırma tekniklerinden sırf biri. Yükleyici bir GlobalSign (kimlik hizmetleri sağlayıcısı) doğrulama aracı olarak gizlenebiliyor, özel gizleme kullanabiliyor ve makûs niyetli teslim komut evraklarının birtakım kısımlarını Word’de gömülü objelerde taşıyabiliyor. İmplant ve sunucu ortasındaki bağlantı imzalı komut belgelerinin kullanılması sayesinde sağlam ve şifreli bir formda gerçekleştiğinden, antivirüs yazılımı implantı başlangıçta makûs gayeli olarak tanımlamıyor.
PowerPepper, öncelikli olarak Avrupa olmak üzere Amerika ve Asya’da da görüldü. Daha evvel açıklanan kampanyalarda, DeathStalker temel olarak finansal yahut kripto para ünitesi hizmetleri sağlayan hukuk danışmanlığı firmalarını ve kuruluşları maksat aldı.
Şirketin güvenlik uzmanı Pierre Delcher, “PowerPepper, DeathStalker’ın yaratıcı bir tehdit aktörü olduğunu bir sefer daha kanıtlayan bir örnek” diyor. “Kısa bir mühlet içinde daima olarak yeni implantlar ve araçlar geliştirebilen bir küme. PowerPepper bu aktörle temaslı dördüncü makus hedefli yazılım tipi, hatta potansiyel bir beşinci çeşit daha keşfettik. DeathStalker’in makus emelli yazılımları, karmaşık olmasalar da epey tesirli olduklarını kanıtladılar. Bunun nedeni tahminen de birincil gayelerinin küçük ve orta ölçekli kuruluşlar olması, yani daha az sağlam güvenlik programlarına sahip kuruluşlar olmasıdır. DeathStalker’ın etkin kalmasını bekliyoruz ve kampanyalarını izlemeye devam edeceğiz.”
