【安全资讯】DeathStalker :针对法律和金融行业的APT组织

安恒情报中心 2020-08-25 02:00:09 788人浏览

DeathStalker是一个独特的威胁组织,该组织似乎只针对律师事务所和金融公司(偶也会发现其他行业的受害者)。据我们所知,这个组织不受经济利益的驱动,他们不会部署勒索软件,不会窃取付款信息以转售它,或从事通常与网络犯罪黑社会相关的任何类型的活动,他们只对收集敏感的业务信息感兴趣,这使我们相信DeathStalker是一群雇佣兵,他们提供黑客服务,或在金融界充当某种信息经纪人的角色。


最近,该黑客组织扩大了业务范围,攻击的目标包括整个欧洲,中东,亚洲和拉丁美洲的金融领域的中小型企业(SMB)。


该组织通过量身定做的鱼叉式网络钓鱼电子邮件来进行攻击, 邮件中带有包含恶意LNK文件的附件, 当受害者执行脚本时,它会从Internet下载更多组件,以使攻击者可以控制计算机。该组织通常使用三个恶意软件进行间谍活动(Powersing,Evilnum和Janicab)。 


研究人员在阿根廷,中国,塞浦路斯,以色列,黎巴嫩,瑞士,台湾,土耳其,英国和阿拉伯联合酋长国(UAE)中识别出Powersing的受害者 。另外在还在塞浦路斯,印度,黎巴嫩,俄罗斯和阿拉伯联合酋长国识别出Evilnum受害者。


(受害者分布地图)

结论:

Kaspersky认为像DeathStalker这样的组织代表着当今大多数公司面临的网络威胁类型,而不仅仅是国家资助的APT,我们相信DeathStalker仍在开发其工具集。

为了防范DeathStalker, Kaspersky 建议企业组织尽可能禁用使用脚本语言的功能(例如powershell.exe和cscript.exe)。并建议防御者密切注意与脚本语言(例如powershell.exe和cscript.exe)相关的进程创建。

失陷指标(IOC)24
APT 钓鱼攻击 DeathStalker 金融 司法
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。