Interessanterweise enth\u00e4lt der b\u00f6sartige Code nicht die Adresse des C&C-Servers. Stattdessen greift das Programm auf einen Social-Media-Beitrag zu, der auf einer \u00f6ffentlichen Plattform ver\u00f6ffentlicht wurde. Dort liest es eine Zeichenfolge, die auf den ersten Blick bedeutungslos erscheint. Doch tats\u00e4chlich handelt es sich um verschl\u00fcsselte Informationen, die die n\u00e4chste Stufe des Angriffs aktivieren sollen. Diese Art von Taktik ist als Dead Drop Resolver <\/em>bekannt.<\/p>\n In der n\u00e4chsten Angriffsphase \u00fcbernehmen die Angreifer die Kontrolle \u00fcber den Computer, legen eine b\u00f6sartige Verkn\u00fcpfung im Autorun-Ordner ab (so dass er weiterhin auf dem System l\u00e4uft) und stellen eine Verbindung mit dem echten C&C-Server her (allerdings erst, nachdem dieser seine Adresse aus einer scheinbar weiteren bedeutungslosen Zeichenfolge entschl\u00fcsselt hat, die auf einer harmlosen Website ver\u00f6ffentlicht wurde).<\/p>\n Im Wesentlichen erf\u00fcllt das Powersing-Implantat zwei Aufgaben: Es macht regelm\u00e4\u00dfig Screenshots auf dem Rechner des Opfers, sendet diese an den C&C-Server und f\u00fchrt zus\u00e4tzliche Powershell-Skripte aus, die vom C&C-Server heruntergeladen werden. Mit anderen Worten versucht die Gruppe auf dem Rechner des Opfers Fu\u00df zu fassen, um zus\u00e4tzliche Tools zu starten.<\/p>\n In allen Angriffsphasen nutzt diese Malware verschiedene Methoden, um Sicherheitstechnologien zu umgehen. Die Wahl der Methode h\u00e4ngt dabei immer vom jeweiligen Ziel ab. Au\u00dferdem kann die Malware, wenn sie auf dem Zielcomputer eine Antivirenl\u00f6sung identifiziert, ihre Taktik \u00e4ndern oder sich sogar selbst deaktivieren. Unsere Experten gehen davon aus, dass die Cyberkriminellen das Ziel zun\u00e4chst analysieren, um ihre Skripte f\u00fcr jeden Angriff fein abzustimmen.<\/p>\n Aber die kurioseste Technik von DeathStalker ist die Nutzung \u00f6ffentlicher Dienste als Dead-Drop-Resolver-Mechanismus. Im Wesentlichen erm\u00f6glichen diese Dienste das Speichern von verschl\u00fcsselten Informationen auf einer festen Adresse in Form von \u00f6ffentlich zug\u00e4nglichen Beitr\u00e4gen, Kommentaren, Benutzerprofilen und Inhaltsbeschreibungen. So in etwa sieht ein solcher Beitrag aus:<\/p>\n Im Gro\u00dfen und Ganzen ist es nur ein Trick: Auf diese Weise versuchen Angreifer, den Beginn der Kommunikation mit dem C&C-Server zu verbergen, so dass die Schutzmechanismen glauben, jemand greife nur auf \u00f6ffentliche Websites zu. Unsere Experten identifizierten F\u00e4lle, in denen Angreifer zu diesem Zweck Websites von Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube und WordPress verwendet haben. Und die obige Liste ist kaum vollst\u00e4ndig. Dennoch ist es unwahrscheinlich, das Unternehmen den Zugriff auf diese Dienste verbietet.<\/p>\n Weitere Informationen \u00fcber eine m\u00f6gliche Verbindung zwischen der DeathStalker-Gruppe und der Malware Janicab und Evilnum sowie eine vollst\u00e4ndige technische Beschreibung von Powersing, einschlie\u00dflich Kompromittierungsindikatoren finden Sie im aktuellen Beitrag von Securelist \u00fcber DeathStalker.<\/a><\/p>\n Die Beschreibung der Angriffsmethoden und Instrumente der Gruppe veranschaulicht gut, welchen Bedrohungen selbst ein relativ kleines Unternehmen in der modernen Welt ausgesetzt sein kann. Nat\u00fcrlich ist die Gruppe kaum ein APT-Akteur und sie verwendet keine besonders komplizierten Tricks. Ihre Werkzeuge sind jedoch darauf zugeschnitten, viele Sicherheitsl\u00f6sungen zu umgehen. Unsere Experten empfehlen die folgenden Schutzma\u00dfnahmen:<\/p>\nT\u00e4uschung von Sicherheitsmechanismen<\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/08\/31103542\/DeathStalker-Powersing-message.png\")
<\/p>\nWie Sie Ihr Unternehmen vor DeathStalker sch\u00fctzen<\/h2>\n
\n