Malware Stealth Soldier

\

Komunita kybernetické bezpečnosti nedávno objevila nově identifikovaná vlastní zadní vrátka nazvaná Stealth Soldier, která byla použita v sérii sofistikovaných a specificky cílených špionážních kampaní v severní Africe.

Stealth Soldier je nedokumentovaný backdoor malware, který vykazuje řadu možností sledování zaměřených na shromažďování citlivých informací z kompromitovaných systémů. Provádí různé sledovací funkce, jako je extrahování souborů z infikovaného zařízení, zaznamenávání aktivit na obrazovce a mikrofonu, protokolování stisknutých kláves a krádeže dat souvisejících s procházením.

Jedním z pozoruhodných aspektů této útočné operace je použití serverů Command-and-Control (C&C), které napodobují webové stránky spojené s libyjským ministerstvem zahraničních věcí. Napodobováním těchto legitimních stránek útočníci vytvářejí klamavé prostředí, které pomáhá při provádění jejich škodlivých aktivit. Počáteční stopy této kampaně Stealth Soldier lze vysledovat až do října 2022, což naznačuje, že útočníci aktivně operovali značnou dobu.

Operátoři malwaru Stealth Soldier používají taktiku sociálního inženýrství

Útočná kampaň začíná tím, že potenciální cíle jsou podvedeny ke stažení škodlivých stahovacích binárních souborů prostřednictvím taktiky sociálního inženýrství. Tyto klamné binární soubory slouží jako prostředek k doručení malwaru Stealth Soldier a současně zobrazují zdánlivě neškodný soubor PDF s návnadou, aby odvrátil pozornost obětí.

Jakmile je malware Stealth Soldier úspěšně nasazen, aktivuje se jeho vlastní modulární implantát. Tento implantát, o kterém se předpokládá, že se používá střídmě, aby se zabránilo odhalení, vybavuje malware řadou možností sledování. Shromažďuje seznamy adresářů a přihlašovací údaje prohlížeče, zaznamenává stisknuté klávesy, zaznamenává zvuk z mikrofonu zařízení, pořizuje snímky obrazovky, nahrává soubory a spouští příkazy PowerShellu.

Malware využívá různé typy příkazů. Některé příkazy jsou pluginy, které se stahují ze serveru Command-and-Control (C&C), zatímco jiné jsou moduly vložené do samotného malwaru. Tento modulární přístup umožňuje flexibilitu a přizpůsobivost ve funkčnosti malwaru. To také naznačuje, že operátoři aktivně udržují a aktualizují malware, o čemž svědčí objev tří odlišných verzí Stealth Soldiera.

Přestože některé součásti Stealth Soldier již nejsou přístupné, analýza odhalila, že určité funkce, jako je snímání obrazovky a krádež přihlašovacích údajů prohlížeče, byly inspirovány open-source projekty dostupnými na GitHubu. To naznačuje, že aktéři hrozeb za Stealth Soldier čerpali inspiraci z existujících nástrojů a začlenili je do svého vlastního malwaru, aby zvýšili jeho schopnosti a efektivitu.

Podobnosti s dříve zaznamenanými operacemi malwaru

Dále bylo zjištěno, že infrastruktura využívaná Stealth Soldierem sdílí podobnosti s infrastrukturou spojenou s předchozí phishingovou kampaní známou jako Eye on the Nile. Kampaň Eye on the Nile se v roce 2019 zaměřila na egyptské novináře a aktivisty za lidská práva.

Tento vývoj ukazuje na potenciální oživení aktéra hrozby odpovědného za obě kampaně. Naznačuje, že skupina se konkrétně zaměřuje na provádění sledovacích činností zaměřených na jednotlivce v Egyptě a Libyi.

Vzhledem k modulární povaze malwaru a využití více stadií infekce je vysoce pravděpodobné, že útočníci budou nadále přizpůsobovat své taktiky a techniky. Tato přizpůsobivost znamená, že aktér hrozby pravděpodobně v blízké budoucnosti uvolní aktualizované verze malwaru a potenciálně zavede nové funkce a úhybné manévry k podpoře svých sledovacích cílů.