DeathStalker, finans ve hukuk sektöründeki şirketlerden hassas iş bilgilerini çalmak için kiralık hacker hizmetleri sunduğuna inanılan gelişmiş bir kalıcı tehdit (APT) aktörü. Bu paralı askerlerin faaliyetleri bir kez daha tespit edildi. Bu kez yeni bir kötü amaçlı yazılım yerleştirme ve dağıtım taktikleri kullanıyorlar: Kaspersky tarafından PowerPepper olarak adlandırılan, kontrol sunucusuyla iletişimi yasal gibi göstermek için iletişim kanalı olarak DNS üzerinden HTTPS’yi kullanan bir arka kapıdan yardım alıyorlar. PowerPepper ayrıca verileri gizlemek için steganografi dahil farklı teknikler de kullanıyor.

DeathStalker, oldukça sıradışı bir APT oyuncusu olarak dikkat çekiyor. En az 2012’den beri aktif olan grup, küçük ve orta ölçekli işletmelere – hukuk firmalarına ve finans sektörüne – karşı casusluk kampanyaları yürütüyor. Diğer APT gruplarından farklı olarak politik olarak motive görünmüyorlar veya hedefledikleri şirketlerden mali kazanç beklemiyorlar. Aksine, paralı asker gibi davranarak bilgisayar korsanlığı hizmetlerini kiralama modeliyle belli bir fiyata sunuyorlar.

Kaspersky araştırmacıları kısa süre önce grubun yeni kötü amaçlı kampanyalarını ortaya çıkardı ve bu sefer PowerPepper olarak bilinen yeni bir arka kapıyı (saldırganların kurbanın cihazının kontrolünü uzaktan ele geçirmesine olanak tanıyan kötü amaçlı yazılım) kullandıklarını keşfetti.

Grupla ilişkili diğer kötü amaçlı yazılım türleri gibi, PowerPepper da genellikle hedef kimlik avı e-postaları aracılığıyla, e-posta gövdesi aracılığıyla veya kötü amaçlı bir bağlantı içinde teslim edilen kötü amaçlı dosyalar aracılığıyla yayılıyor. Grup, kurbanlarını kötü niyetli belgeleri açmak üzere kandırmak için uluslararası olayları, karbon emisyon düzenlemelerini ve hatta pandemiyi kullanıyor.

Ana kötü amaçlı yük, saldırganların meşru içerik arasında verileri gizlemesine olanak tanıyan bir işlem olan steganografi kullanılarak gizleniyor. PowerPepper, kötü amaçlı kodu eğrelti otu normal biber resimleri gibi görünen dosyalara yerleştiriyor ve bu kodlar yükleyici komut dosyası tarafından çıkarılıyor. Bu gerçekleştiğinde PowerPepper, DeathStalker operatörleri tarafından uzaktan gönderilen, hassas iş odaklı bilgileri çalmayı amaçlayan komutları yürütmeye başlıyor. Kötü amaçlı yazılım, hedeflenen sistemde bilgisayarın kullanıcı ve dosya bilgilerini toplama, ağ dosya paylaşımlarına göz atma ve ek ikili dosyalar indirme veya içeriği uzak konumlara kopyalama gibi standart veri keşfi için olanlar da dahil olmak üzere herhangi bir komutu gerçekleştirebiliyor. Kontrol sunucusundan gönderilen komutlar HTTPS üzerinden DNS aracılığıyla alınıyor. Bu teknik, meşru sunucu adı sorgularının arkasındaki kötü niyetli iletişimleri gizlemede oldukça etkili.

Steganografinin kullanımı, kötü amaçlı yazılım tarafından kullanılan şaşırtma ve kaçırma tekniklerinden yalnızca biri. Yükleyici bir GlobalSign (kimlik hizmetleri sağlayıcısı) doğrulama aracı olarak gizlenebiliyor, özel gizleme kullanabiliyor ve kötü niyetli teslim komut dosyalarının bazı kısımlarını Word’de gömülü nesnelerde taşıyabiliyor. İmplant ve sunucu arasındaki iletişim imzalı komut dosyalarının kullanılması sayesinde güvenilir ve şifreli bir şekilde gerçekleştiğinden, antivirüs yazılımı implantı başlangıçta kötü amaçlı olarak tanımlamıyor.

PowerPepper, öncelikli olarak Avrupa olmak üzere Amerika ve Asya’da da görüldü. Daha önce açıklanan kampanyalarda, DeathStalker esas olarak finansal veya kripto para birimi hizmetleri sağlayan hukuk danışmanlığı firmalarını ve kuruluşları hedef aldı.