Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό Stealth Soldier

Κακόβουλο λογισμικό Stealth Soldier

Μέχρι το Mezo το Malware, Backdoors
Μετάφραση σε:
Ελληνικά

\

Η κοινότητα της κυβερνοασφάλειας ανακάλυψε πρόσφατα μια νέα προσαρμοσμένη κερκόπορτα που ονομάζεται Stealth Soldier, η οποία έχει χρησιμοποιηθεί σε μια σειρά εξελιγμένων και ειδικά στοχευμένων εκστρατειών κατασκοπείας στη Βόρεια Αφρική.

Το The Stealth Soldier είναι ένα μη τεκμηριωμένο κακόβουλο λογισμικό backdoor που παρουσιάζει μια σειρά από δυνατότητες επιτήρησης, με στόχο τη συλλογή ευαίσθητων πληροφοριών από παραβιασμένα συστήματα. Εκτελεί διάφορες λειτουργίες επιτήρησης, όπως η εξαγωγή αρχείων από τη μολυσμένη συσκευή, η εγγραφή δραστηριοτήτων στην οθόνη και το μικρόφωνο, η καταγραφή των πλήκτρων και η κλοπή δεδομένων που σχετίζονται με την περιήγηση.

Μια αξιοσημείωτη πτυχή αυτής της επιχείρησης επίθεσης είναι η χρήση διακομιστών Command-and-Control (C&C) που μιμούνται ιστότοπους που σχετίζονται με το Υπουργείο Εξωτερικών της Λιβύης. Μιμούμενοι αυτούς τους νόμιμους ιστότοπους, οι εισβολείς δημιουργούν ένα παραπλανητικό περιβάλλον που βοηθά στην εκτέλεση των κακόβουλων δραστηριοτήτων τους. Τα αρχικά ίχνη αυτής της εκστρατείας Stealth Soldier μπορούν να εντοπιστούν από τον Οκτώβριο του 2022, υποδεικνύοντας ότι οι επιτιθέμενοι δρούσαν ενεργά για μεγάλο χρονικό διάστημα.

Οι χειριστές κακόβουλου λογισμικού The Stealth Soldier χρησιμοποιούν τακτικές κοινωνικής μηχανικής

Η εκστρατεία επίθεσης ξεκινά με πιθανούς στόχους που εξαπατούνται για να κατεβάσουν κακόβουλα δυαδικά προγράμματα λήψης μέσω τακτικών κοινωνικής μηχανικής. Αυτά τα παραπλανητικά δυαδικά αρχεία χρησιμεύουν ως μέσο για την παράδοση του κακόβουλου λογισμικού Stealth Soldier, ενώ ταυτόχρονα εμφανίζουν ένα φαινομενικά ακίνδυνο αρχείο PDF decoy για να αποσπάσουν την προσοχή των θυμάτων.

Μόλις το κακόβουλο λογισμικό Stealth Soldier αναπτυχθεί με επιτυχία, το προσαρμοσμένο αρθρωτό εμφύτευμά του ενεργοποιείται. Αυτό το εμφύτευμα, που πιστεύεται ότι χρησιμοποιείται με φειδώ για να αποφευχθεί ο εντοπισμός, εξοπλίζει το κακόβουλο λογισμικό με μια σειρά δυνατοτήτων επιτήρησης. Συγκεντρώνει λίστες καταλόγου και διαπιστευτήρια προγράμματος περιήγησης, καταγράφει πατήματα πλήκτρων, καταγράφει ήχο από το μικρόφωνο της συσκευής, καταγράφει στιγμιότυπα οθόνης, ανεβάζει αρχεία και εκτελεί εντολές PowerShell.

Το κακόβουλο λογισμικό χρησιμοποιεί διαφορετικούς τύπους εντολών. Ορισμένες εντολές είναι προσθήκες που λαμβάνονται από τον διακομιστή Command-and-Control (C&C), ενώ άλλες είναι λειτουργικές μονάδες ενσωματωμένες στο ίδιο το κακόβουλο λογισμικό. Αυτή η αρθρωτή προσέγγιση επιτρέπει ευελιξία και προσαρμοστικότητα στη λειτουργικότητα του κακόβουλου λογισμικού. Υποδεικνύει επίσης ότι οι χειριστές διατηρούν και ενημερώνουν ενεργά το κακόβουλο λογισμικό, όπως αποδεικνύεται από την ανακάλυψη τριών ξεχωριστών εκδόσεων του Stealth Soldier.

Αν και ορισμένα από τα στοιχεία του Stealth Soldier δεν είναι πλέον προσβάσιμα, η ανάλυση αποκάλυψε ότι ορισμένες λειτουργίες, όπως η καταγραφή οθόνης και η κλοπή διαπιστευτηρίων του προγράμματος περιήγησης, εμπνεύστηκαν από έργα ανοιχτού κώδικα διαθέσιμα στο GitHub. Αυτό υποδηλώνει ότι οι παράγοντες απειλών πίσω από το Stealth Soldier άντλησαν έμπνευση από υπάρχοντα εργαλεία και τα ενσωμάτωσαν στο προσαρμοσμένο κακόβουλο λογισμικό τους για να βελτιώσουν τις δυνατότητες και την αποτελεσματικότητά του.

Ομοιότητες με προηγουμένως καταγεγραμμένες λειτουργίες κακόβουλου λογισμικού

Επιπλέον, ανακαλύφθηκε ότι η υποδομή που χρησιμοποιεί ο Stealth Soldier έχει κοινές ομοιότητες με την υποδομή που συνδέεται με μια προηγούμενη εκστρατεία phishing γνωστή ως Eye on the Nile. Η εκστρατεία Eye on the Nile στόχευσε Αιγύπτιους δημοσιογράφους και ακτιβιστές ανθρωπίνων δικαιωμάτων το 2019.

Αυτή η εξέλιξη υποδηλώνει την πιθανή αναζωπύρωση του παράγοντα απειλής που είναι υπεύθυνος και για τις δύο εκστρατείες. Υποδηλώνει ότι η ομάδα επικεντρώνεται ειδικά στη διεξαγωγή δραστηριοτήτων παρακολούθησης με στόχο άτομα στην Αίγυπτο και τη Λιβύη.

Λαμβάνοντας υπόψη τη σπονδυλωτή φύση του κακόβουλου λογισμικού και τη χρήση πολλαπλών σταδίων μόλυνσης, είναι πολύ πιθανό οι εισβολείς να συνεχίσουν να προσαρμόζουν τις τακτικές και τις τεχνικές τους. Αυτή η προσαρμοστικότητα υποδηλώνει ότι ο παράγοντας απειλής πιθανότατα θα κυκλοφορήσει ενημερωμένες εκδόσεις του κακόβουλου λογισμικού στο εγγύς μέλλον, εισάγοντας ενδεχομένως νέες λειτουργίες και ελιγμούς αποφυγής για την προώθηση των στόχων επιτήρησής του.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...