DeathStalker, el grupo de APT que espía a las PYMES
Las investigaciones recientes han permitido a Kaspersky vincular la actividad de DeathStalker con tres familias diferentes de malware (Powersing, Evilnum y Janicab) lo que demuestra la magnitud de la actividad llevada a cabo desde 2012.
El equipo de Invetsigación de Kaspersky publicó un resumen sobre DeathStalker, un grupo de APT que ha desarrollado logrados ataques de espionaje contra pequeñas y medianas empresas del sector financiero desde 2012. Los últimos movimientos apuntan a ataques contra empresas de todo el mundo, algo que resalta la importancia de la ciberseguridad para las PYMES.
Actualmente, las empresas se enfrentan a una gran variedad de amenazas, a pesar de que los ataques que más atraen la atención sean los promovidos por estados o los ataques más sofisticados. Desde el ransomware hasta la fuga de datos, pasando por el espionaje comercial, estos ataques suelen ser ejecutados por actores de malware de nivel medio o grupos de hackers como DeathStalker.
DeathStalker es un grupo de amenazas que actúa fundamentalmente en el ámbito del ciberespionaje contra bufetes de abogados y empresas del sector financiero. El actor de amenazas es muy flexible y se caracteriza por utilizar un enfoque repetitivo y rápido en el diseño de software, lo que les permite ejecutar eficazmente sus campañas.
Las investigaciones recientes han permitido a Kaspersky vincular la actividad de DeathStalker con tres familias diferentes de malware (Powersing, Evilnum y Janicab) lo que demuestra la magnitud de la actividad llevada a cabo desde 2012. Powersing ha sido rastreada por Kaspersky desde 2018, mientras que las otras dos familias han sido denunciadas por diversos proveedores de ciberseguridad. El análisis de las similitudes de los códigos y la victimología de las tres familias ha permitido a los investigadores relacionarlas entre sí con un nivel medio de confianza.
Las tácticas, técnicas y procedimientos de los actores de amenazas han permanecido inalterables a lo largo de los años: se basan en correos electrónicos de “spear-phishing” adaptados a cada caso para enviar documentos que contienen archivos maliciosos. Cuando el usuario hace clic en el enlace, se ejecuta un script malicioso y se descargan otros elementos desde Internet. Esto permite a los atacantes obtener el control del equipo de la víctima.
Uno de los ejemplos es el del uso de Powersing, un implante basado en Power-Shell que fue el primer malware detectado de este actor de amenazas. Una vez que el dispositivo de la víctima ha sido infectado, el malware es capaz de realizar capturas de pantalla periódicas y ejecutar scripts de Powershell de forma arbitraria. Mediante el uso de métodos de persistencia alternativos que varían según la solución de seguridad detectada en el dispositivo infectado, el malware es capaz de eludir la detección, lo que demuestra la capacidad de estos grupos para realizar pruebas de detección antes de cada campaña y ajustar los scripts en función de los resultados.
DeathStalker, en las campañas en las que emplea Powersing, también recurre a un conocido servicio público para combinar las comunicaciones iniciales de puerta trasera con el tráfico de red legítimo, limitando así la capacidad de los defensores para obstaculizar sus operaciones. Mediante el uso de resolución de “dead-drop”, colocados en una variedad de redes sociales, blogs y aplicaciones de mensajería legítimas, el actor logró evadir la detección y finalizar rápidamente a la campaña. Una vez que las víctimas están infectadas, son contactadas y redirigidas por esta táctica de resolución, ocultando así la cadena de comunicación.
La actividad de DeathStalker ha sido detectada en todo el mundo, lo que demuestra el tamaño de sus operaciones. Se han identificado acciones relacionadas con Powersing en Argentina, China, Chipre, Israel, Líbano, Suiza, Taiwán, Turquía, Reino Unido y Emiratos Árabes Unidos. Asimismo, Kaspersky ha localizado víctimas de Evilnum en Chipre, Emiratos Árabes Unidos, India, Líbano y Rusia. A través de Kaspersky Threat Intelligence Portal es posible acceder a información detallada sobre los indicadores de compromiso de este grupo, incluidos los hashes de archivos y los servidores C2.
“DeathStalker” es un ejemplo de actor de amenazas del que deben defenderse las empresas del sector privado. Aunque a menudo nos centramos en las actividades realizadas por los grupos APT, DeathStalker nos recuerda que las entidades que tradicionalmente no tienen una mayor sensibilización en materia de seguridad deben ser también conscientes de que pueden convertirse en objetivos. Además, a juicio de su continua actividad, creemos que DeathStalker seguirá siendo una amenaza y utilizará nuevas herramientas para atacar a las compañías. En cierto sentido, este actor es una prueba de que las pequeñas y medianas empresas también necesitan invertir en seguridad y en formación sobre concienciación”, señala Ivan Kwiatkowski, investigador de seguridad senior del equipo GReAT de Kaspersky.
“Para mantenerse protegidos frente a DeathStalker, recomendamos a las empresas que desactiven en la medida de lo posible la posibilidad de utilizar lenguajes como powershell.exe y cscript.exe. Asimismo, recomendamos que en los programas de concienciación y las evaluaciones de productos de seguridad futuras incluyan cadenas de infección basadas en archivos LNK (de acceso directo)”.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas, ya sea conocido o desconocido, los investigadores de Kaspersky recomiendan adoptar las siguientes medidas: · Proporcione a su equipo SOC acceso a la última información sobre amenazas. Asegúrese de utilizar la solución de endpoints adecuada. Proporcione a su equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan por el phishing u otras técnicas de ingeniería social.