Зловреден софтуер Stealth Soldier
\
Общността за киберсигурност наскоро откри наскоро идентифицирана персонализирана задна врата, наречена Stealth Soldier, която е била използвана в серия от сложни и конкретно насочени шпионски кампании в Северна Африка.
Stealth Soldier е недокументиран злонамерен софтуер със задна врата, който показва набор от възможности за наблюдение, насочени към събиране на чувствителна информация от компрометирани системи. Той изпълнява различни функции за наблюдение, като извличане на файлове от заразеното устройство, записване на дейности на екрана и микрофона, регистриране на натиснати клавиши и кражба на данни, свързани със сърфирането.
Един забележителен аспект на тази операция за атака е използването на сървъри за командване и контрол (C&C), които имитират уебсайтове, свързани с либийското Министерство на външните работи. Като имитират тези легитимни сайтове, нападателите създават измамна среда, която подпомага изпълнението на техните злонамерени дейности. Първоначалните следи от тази кампания Stealth Soldier могат да бъдат проследени до октомври 2022 г., което показва, че нападателите са действали активно в продължение на значителен период от време.
Операторите на зловреден софтуер Stealth Soldier използват тактики за социално инженерство
Кампанията за атака започва с потенциални цели, подмамени да изтеглят злонамерени двоични файлове за изтегляне чрез тактики на социално инженерство. Тези измамни двоични файлове служат като средство за доставяне на злонамерения софтуер Stealth Soldier, като едновременно с това показват привидно безвреден примамлив PDF файл, за да отвлекат вниманието на жертвите.
След като зловредният софтуер Stealth Soldier бъде успешно внедрен, неговият персонализиран модулен имплант става активен. Този имплант, за който се смята, че се използва умерено, за да се избегне откриването, оборудва злонамерения софтуер с набор от възможности за наблюдение. Той събира списъци с директории и идентификационни данни на браузъра, регистрира натискания на клавиши, записва аудио от микрофона на устройството, заснема екранни снимки, качва файлове и изпълнява команди на PowerShell.
Зловреден софтуер използва различни видове команди. Някои команди са плъгини, които се изтеглят от сървъра за командване и управление (C&C), докато други са модули, вградени в самия зловреден софтуер. Този модулен подход позволява гъвкавост и адаптивност във функционалността на зловреден софтуер. Това също така показва, че операторите активно поддържат и актуализират зловредния софтуер, както се вижда от откриването на три различни версии на Stealth Soldier.
Въпреки че някои от компонентите на Stealth Soldier вече не са достъпни, анализът разкри, че определени функционалности, като заснемане на екран и кражба на идентификационни данни на браузъра, са вдъхновени от проекти с отворен код, налични в GitHub. Това предполага, че участниците в заплахата зад Stealth Soldier са се вдъхновили от съществуващите инструменти и са ги включили в своя персонализиран зловреден софтуер, за да подобрят неговите възможности и ефективност.
Прилики с предишни записани операции със зловреден софтуер
Освен това беше открито, че инфраструктурата, използвана от Stealth Soldier, споделя прилики с инфраструктурата, свързана с предишна фишинг кампания, известна като Eye on the Nile. Кампанията Eye on the Nile беше насочена към египетски журналисти и правозащитници през 2019 г.
Това развитие показва потенциалното възраждане на заплахата, отговорна за двете кампании. Това предполага, че групата е специално фокусирана върху провеждането на дейности по наблюдение, насочени към лица в Египет и Либия.
Като се има предвид модулният характер на злонамерения софтуер и използването на множество етапи на заразяване, е много вероятно нападателите да продължат да адаптират своите тактики и техники. Тази адаптивност предполага, че заплахата вероятно ще пусне актуализирани версии на злонамерения софтуер в близко бъдеще, потенциално въвеждайки нови функционалности и избягващи маневри за постигане на своите цели за наблюдение.
