2012’den beri faaliyetlerini gerçekleştiren DeathStalker grubu, yeni zararlı yazılım faaliyeti PowerPepper ile karşımızda. Tehdit grubu dünya çapında çok sayıda kurumu hedef almıştır. DeathStalker grubu, geleneksel gruplardan farklı olarak “hack for hire” yani saldırı için bir araya gelmek şeklinde organize olmaktadır.
Siber tehdit grubu “dead-drop resolvers” (DDRs) adı verilen bir metodu kullanarak antivirüs tespitinden kaçınmayı amaçlamaktadır. Bu metot sayesinde, kurbanları hedef almak için YouTube, Twitter, Reddit gibi web servislerine karmaşıklaştırılmış içeriklerini yerleştirmektedirler. Atak, kurbanı hedef alan bir oltalama saldırısı olarak başlamaktadır. Oltalama mailinde payload çalıştırılabilmesi için Word dökümanı bulunmaktadır.
PowerPepper Enfeksiyon Süreci
Öncelikle PowerPepper zararlı yazılımı, uzaktan kontrol edilmesine olanak sağlayan bir Windows PowerShell arka kapısına sahiptir. Bu özelliklerine ek olarak fare hareketleri, cihaz MAC adresleri tespitleri yapabilmektedir. Ayrıca süreçlerini AV tespitine karşı yönetebilmekte ve Sandbox kontrolü yapabilmektedir.
Komuta ve Kontrol Sunucusu ile iletişim için “DNS over HTTPS” yöntemi kullanılmaktadır. C2 sunucusu ile iletişimi sağlamak için Microsoft Excel’in Web Client özelliğini ????. C2 ile kurulan iletişim trafiği AES metoduyla enkript edilmektedir.
PowerPepper İletim Süreci
Zararlı yazılımın iletim süreci, makro tabanlı ve LNK tabanlı olmak üzere iki şekilde gerçekleşebilmektedir.
Makro tabanlı iletim yöntemi, temel olarak zararlı içerik olarak Microsoft Word dökümanı taşıyan bir hedefli oltalama saldırısı ya da zararlı içeriğin indirilebildiği link içerikli oltalama maili ile ifade edilmektedir.
LNK tabanlı zararlı yazılım iletişim şekli makro tabanlı yönteme her ne kadar benzer olsa da iki farklı özelliği ile bu yöntemden ayrılmaktadır. Bu yöntem, Windows kısayol dosyalarına dayanmaktadır.
- Zararlı makrolarda kullanılan scriptlerin yerini kısayol dosyasına yerleştirilmiş olan PowerShell scriptleri almaktadır. Bu noktadan itibaren VBA makrolarına ihtiyaç kalmamaktadır.
- Zararlı yazılım, bir yerde gömülü olarak iletilmek yerine kısayol dosyasında yer alan scriptler kullanılarak uzak bir lokasyondan indirilebilmektedir.
IoC Listesi
| HASH | Tanım |
| A4DD981606EA0497BF9995F3BC672951 | Malicious Word document (macro-based delivery chain) |
| 871D64D8330D956593545DFFF069194E | Malicious Word document (macro-based delivery chain) |
| 81147EDFFAF63AE4068008C8235B34AF | Malicious Windows shortcut (LNK-based delivery chain) |
| DFC2486DE9E0339A1B38BB4B9144EA83 | Malicious Word document (downloaded by LNK-based delivery chain) |
| 74D7DF2505471EADEB1CCFC48A238AEC | Malicious CHM container |
| 5019E29619469C74F2B826535C5A8BD8 | Malicious CHM container |
| B4790E70B1297215E0875CFC2A56648E | Malicious CHM container |
| 3A6099214F474C1501C110CE66033F3C | Malicious VBS Loader |
| 07308FBC3D10FD476F1898ECF6762437 | Malicious VBS Loader |
| 1F77FBE4702F787A713D394B62D27B42 | Malicious VBS Loader |
| 6E99F6DA77B0620E89F6E88D91198C32 | Malicious VBS Loader |
| 5D04D246F3E5DA6A9347EC72494D5610 | Malicious startup launcher LNK |
| BA7AE1C73A78D8DC4B3779BD6A151791 | Malicious startup launcher LNK |
| 1DC2B849A858BC479B1EF428491E0353 | Malicious startup launcher LNK |
| 9D4066C57C6E1602CE33F15DC7F3841B | PowerPepper steganography image (peppers) |
| 6FF8A3D18A6EA930E87AC364379ECEC2 | PowerPepper steganography image (peppers) |
| 871D64D8330D956593545DFFF069194E | PowerPepper steganography image (peppers) |
| 9CE299BBDD7FDBF9F30F8935C89D2877 | PowerPepper steganography image (ferns) |
| 34F086AE78C5319FB64BF1CAE8204D1B | PowerPepper steganography image (ferns) |
