Programari maliciós Stealth Soldier
\
La comunitat de ciberseguretat ha descobert recentment una porta posterior personalitzada recentment identificada anomenada Stealth Soldier, que s'ha utilitzat en una sèrie de campanyes d'espionatge sofisticades i específicament dirigides al nord d'Àfrica.
The Stealth Soldier és un programari maliciós de porta posterior no documentat que presenta una sèrie de capacitats de vigilància, destinades a recopilar informació sensible de sistemes compromesos. Duu a terme diverses funcions de vigilància, com ara extreure fitxers del dispositiu infectat, gravar activitats a la pantalla i al micròfon, registrar les pulsacions de tecles i robar dades relacionades amb la navegació.
Un aspecte notable d'aquesta operació d'atac és l'ús de servidors de comandament i control (C&C) que imiten llocs web associats al Ministeri d'Afers Exteriors de Líbia. En imitar aquests llocs legítims, els atacants creen un entorn enganyós que ajuda a executar les seves activitats malicioses. Els rastres inicials d'aquesta campanya Stealth Soldier es remunten a l'octubre de 2022, cosa que indica que els atacants han estat operant activament durant un període considerable.
Els operadors de programari maliciós Stealth Soldier utilitzen tàctiques d'enginyeria social
La campanya d'atac s'inicia amb objectius potencials enganyats perquè baixin binaris de descàrrega maliciós mitjançant tàctiques d'enginyeria social. Aquests binaris enganyosos serveixen com a mitjà per lliurar el programari maliciós Stealth Soldier, alhora que mostren un fitxer PDF d'engany aparentment inofensiu per distreure les víctimes.
Un cop el programari maliciós Stealth Soldier s'ha implementat amb èxit, el seu implant modular personalitzat s'activa. Aquest implant, que es creu que s'utilitza amb moderació per evitar la detecció, equipa el programari maliciós amb una sèrie de capacitats de vigilància. Reuneix llistes de directoris i credencials del navegador, registra les pulsacions de tecles, grava l'àudio del micròfon del dispositiu, captura captures de pantalla, carrega fitxers i executa ordres de PowerShell.
El programari maliciós utilitza diferents tipus d'ordres. Algunes ordres són complements que es descarreguen des del servidor d'ordres i control (C&C), mentre que altres són mòduls incrustats al mateix programari maliciós. Aquest enfocament modular permet flexibilitat i adaptabilitat en la funcionalitat del programari maliciós. També indica que els operadors mantenen i actualitzen activament el programari maliciós, com ho demostra el descobriment de tres versions diferents de Stealth Soldier.
Tot i que alguns dels components de Stealth Soldier ja no són accessibles, l'anàlisi ha revelat que determinades funcionalitats, com ara la captura de pantalla i el robatori de credencials del navegador, es van inspirar en projectes de codi obert disponibles a GitHub. Això suggereix que els actors de l'amenaça darrere de Stealth Soldier es van inspirar en les eines existents i les van incorporar al seu programari maliciós personalitzat per millorar les seves capacitats i eficàcia.
Similituds amb operacions de programari maliciós enregistrades prèviament
A més, s'ha descobert que la infraestructura utilitzada pel soldat furtiu comparteix similituds amb la infraestructura vinculada a una campanya de pesca anterior coneguda com Eye on the Nile. La campanya Eye on the Nile es va dirigir a periodistes i activistes dels drets humans egipcis el 2019.
Aquest desenvolupament indica el potencial ressorgiment de l'actor d'amenaça responsable d'ambdues campanyes. Suggereix que el grup se centra específicament a dur a terme activitats de vigilància dirigides a persones a Egipte i Líbia.
Tenint en compte la naturalesa modular del programari maliciós i la utilització de múltiples etapes d'infecció, és molt probable que els atacants continuïn adaptant les seves tàctiques i tècniques. Aquesta adaptabilitat implica que l'actor de l'amenaça probablement llançarà versions actualitzades del programari maliciós en un futur proper, introduint potencialment noves funcionalitats i maniobres evasives per afavorir els seus objectius de vigilància.
