Stealth Soldier Malware

\

Cybersikkerhedssamfundet har for nylig opdaget en nyligt identificeret brugerdefineret bagdør kaldet Stealth Soldier, som er blevet brugt i en række sofistikerede og specifikt målrettede spionagekampagner i Nordafrika.

The Stealth Soldier er en udokumenteret bagdør-malware, der udviser en række overvågningsfunktioner, rettet mod at indsamle følsomme oplysninger fra kompromitterede systemer. Den udfører forskellige overvågningsfunktioner, såsom at udtrække filer fra den inficerede enhed, optage aktiviteter på skærmen og mikrofonen, logge tastetryk og stjæle browsing-relaterede data.

Et bemærkelsesværdigt aspekt af denne angrebsoperation er brugen af Command-and-Control (C&C) servere, der efterligner websteder, der er forbundet med det libyske udenrigsministerium. Ved at efterligne disse legitime websteder skaber angriberne et vildledende miljø, der hjælper med at udføre deres ondsindede aktiviteter. De første spor af denne Stealth Soldier-kampagne kan spores tilbage til oktober 2022, hvilket indikerer, at angriberne har været aktivt i drift i en længere periode.

The Stealth Soldier Malware-operatører bruger sociale teknikker

Angrebskampagnen indledes med potentielle mål, der bliver narret til at downloade ondsindede downloader binære filer gennem social engineering taktik. Disse vildledende binære filer tjener som et middel til at levere Stealth Soldier-malwaren, mens de samtidig viser en tilsyneladende harmløs lokke-PDF-fil for at distrahere ofrene.

Når først Stealth Soldier-malwaren er blevet implementeret, bliver dens tilpassede modulære implantat aktivt. Dette implantat, der menes at blive brugt sparsomt for at undgå detektion, udstyrer malwaren med en række overvågningsmuligheder. Den samler kataloglister og browserlegitimationsoplysninger, logger tastetryk, optager lyd fra enhedens mikrofon, tager skærmbilleder, uploader filer og udfører PowerShell-kommandoer.

Malwaren anvender forskellige typer kommandoer. Nogle kommandoer er plugins, der downloades fra Command-and-Control-serveren (C&C), mens andre er moduler, der er indlejret i selve malwaren. Denne modulære tilgang giver mulighed for fleksibilitet og tilpasningsevne i malwarens funktionalitet. Det indikerer også, at operatørerne aktivt vedligeholder og opdaterer malwaren, som det fremgår af opdagelsen af tre forskellige versioner af Stealth Soldier.

Selvom nogle af komponenterne i Stealth Soldier ikke længere er tilgængelige, har analyse afsløret, at visse funktionaliteter, såsom skærmbillede og tyveri af browserlegitimationsoplysninger, var inspireret af open source-projekter, der er tilgængelige på GitHub. Dette tyder på, at trusselsaktørerne bag Stealth Soldier hentede inspiration fra eksisterende værktøjer og inkorporerede dem i deres tilpassede malware for at forbedre dens muligheder og effektivitet.

Ligheder med tidligere registrerede malware-operationer

Desuden er det blevet opdaget, at den infrastruktur, som Stealth Soldier bruger, deler ligheder med den infrastruktur, der er knyttet til en tidligere phishing-kampagne kendt som Eye on the Nile. Eye on the Nile-kampagnen var rettet mod egyptiske journalister og menneskerettighedsaktivister i 2019.

Denne udvikling indikerer den potentielle genopblussen af den trusselsaktør, der er ansvarlig for begge kampagner. Det tyder på, at gruppen er specifikt fokuseret på at udføre overvågningsaktiviteter rettet mod enkeltpersoner i Egypten og Libyen.

I betragtning af malwarens modulære karakter og brugen af flere infektionsstadier er det højst sandsynligt, at angriberne vil fortsætte med at tilpasse deres taktik og teknikker. Denne tilpasningsevne indebærer, at trusselsaktøren sandsynligvis vil frigive opdaterede versioner af malwaren i den nærmeste fremtid, hvilket potentielt vil introducere nye funktionaliteter og undvigemanøvrer for at fremme deres overvågningsmål.