【安全资讯】DeathStalker ：针对法律和金融行业的APT组织

DeathStalker是一个独特的威胁组织，该组织似乎只针对律师事务所和金融公司（偶也会发现其他行业的受害者）。据我们所知，这个组织不受经济利益的驱动，他们不会部署勒索软件，不会窃取付款信息以转售它，或从事通常与网络犯罪黑社会相关的任何类型的活动，他们只对收集敏感的业务信息感兴趣，这使我们相信DeathStalker是一群雇佣兵，他们提供黑客服务，或在金融界充当某种信息经纪人的角色。

最近，该黑客组织扩大了业务范围，攻击的目标包括整个欧洲，中东，亚洲和拉丁美洲的金融领域的中小型企业（SMB）。

该组织通过量身定做的鱼叉式网络钓鱼电子邮件来进行攻击， 邮件中带有包含恶意LNK文件的附件， 当受害者执行脚本时，它会从Internet下载更多组件，以使攻击者可以控制计算机。该组织通常使用三个恶意软件进行间谍活动（Powersing，Evilnum和Janicab）。 

研究人员在阿根廷，中国，塞浦路斯，以色列，黎巴嫩，瑞士，台湾，土耳其，英国和阿拉伯联合酋长国（UAE）中识别出Powersing的受害者 。另外在还在塞浦路斯，印度，黎巴嫩，俄罗斯和阿拉伯联合酋长国识别出Evilnum受害者。

结论：

Kaspersky认为像DeathStalker这样的组织代表着当今大多数公司面临的网络威胁类型，而不仅仅是国家资助的APT，我们相信DeathStalker仍在开发其工具集。

为了防范DeathStalker， Kaspersky 建议企业组织尽可能禁用使用脚本语言的功能（例如powershell.exe和cscript.exe）。并建议防御者密切注意与脚本语言（例如powershell.exe和cscript.exe）相关的进程创建。