2018年,安全公司卡巴斯基实验室(Kaspersky Lab)的研究人员开始追踪“死亡追踪者”,这是一个黑客雇佣组织的名字,该组织利用简单但有效的恶意软件对律师事务所和金融行业的公司进行间谍活动。现在,研究人员已经将该组织与另外两个恶意软件联系起来,其中一个至少可以追溯到2012年。
死亡追踪者引起了卡巴斯基的注意,因为它使用了一位同事称为“Powersing”的恶意软件。该恶意软件得名于一个900行的PowerShell脚本,攻击者不遗余力地从反病毒软件中混淆该脚本。
攻击始于鱼叉式钓鱼电子邮件,其附件看似是文档,但通过涉及LNK文件的花招,实际上是恶意脚本。为了防止目标产生怀疑,一旦目标点击附件,Powersing就会显示诱饵文档。
除了LNK的把戏,Powersing还试图通过使用“死点解析器”来摆脱AV。实际上,这些都是社交媒体帖子,恶意软件利用这些帖子秘密地拼凑出它需要的关键信息,比如访问哪些互联网服务器,以及应该使用什么密钥来解密其内容。下面的推文只是它使用的死点解析器之一。
第一个字符串包含用于解密代码的AES密钥,然后该代码将找到编码到第二个字符串中的整数。然后,代码将整数除以攻击者控制的常量,得出受感染计算机要报告的IP地址。
卡巴斯基实验室的研究人员Ivan Kwiatkowski、Pierre Delcher和Maher Yamout在周一发表的一篇文章中写道:“依靠知名的公共服务,网络犯罪分子可以将最初的后门通信混入合法的网络流量中。”他们接着说:
它还限制了捍卫者可以做的事情来阻碍他们的运营,因为这些平台通常不能在公司层面被列入黑名单,而且从这些平台上删除内容可能是一个困难而漫长的过程。然而,这是有代价的:互联网永远不会忘记,网络罪犯也很难消除他们活动的痕迹。多亏了搜索引擎索引或存档的数据,我们估计Powersing在2017年8月左右首次使用。
创造Powersing这个名字的研究人员推测,这种恶意软件可能与另一个名为Janicab的恶意软件家族有关,该家族至少可以追溯到2012年。卡巴斯基实验室的研究人员分析了AV提供商F-Secure在2015年发布的Janicab样本。
他们发现Janicab也使用相同的LNK和诱饵文件花招来访问计算机的命令应用程序。他们还注意到,Janicab与一个未上市的YouTube视频建立了连接,该视频使用相同的整数数学来获取控制服务器信息。其他相似之处:这两个恶意软件都定期发送从桌面捕获的屏幕截图,它们都允许执行攻击者创建的脚本,并且都使用完全相同的列表MAC地址来检测安全研究人员可能在逆向工程中使用的虚拟机。
卡巴斯基实验室的研究人员继续研究了一种名为Evilnum的较新的恶意软件家族,AV提供商Eset上个月详细介绍了这一家族,该公司报告了另一条基于LNK的感染链。卡巴斯基实验室发现,它使用了相同的死点解析器和整数数学技巧来获取控制服务器位置。其他相似之处是名称相似或相同的变量,重叠的目标。
IP地址以整数的形式获得,然后在转换之前除以硬编码的常量。
这三个恶意软件家族之间的次要代码重叠可能表明它们是由同一团队开发的,或者是在共享软件开发实践的组内开发的。
这三个恶意软件系列都具有截图功能。虽然这本身不是原创的,但这通常不是这类组的开发优先级的一部分,并且可以指示共享的设计规范。
最后,虽然我们没有太多关于Janicab受害者的信息,但Powersing和Evilnum都在研究商业智能,尽管是在不同的行业垂直领域。这两组活动都符合这样的假设,即它们是由雇佣兵组织运营的。
研究人员说,这些相似之处绝不是确凿的证据,但合在一起,他们给了研究人员“中等的信心”,即Powersing、Janicab和Evilnum是由同一组人操作的。
研究人员总结道:“在这篇博客文章中,我们描述了一种现代感染链,它至今仍被威胁因素积极使用和发展。”“它不包含任何创新的技巧或复杂的方法,链条中的某些部分实际上可能看起来不必要地错综复杂。然而,如果假设是正确的,即同一集团运营Janicab和Powersing,这表明它们自2012年以来一直在利用相同的方法。在信息安全的世界里,没有比这更‘经得起考验’的了。“