Stealth Soldier pahavara

\

Küberjulgeoleku kogukond avastas hiljuti äsja tuvastatud kohandatud tagaukse nimega Stealth Soldier, mida on Põhja-Aafrikas kasutatud mitmetes keerukates ja konkreetselt sihitud spionaažikampaaniates.

Stealth Soldier on dokumentideta tagaukse pahavara, millel on mitmesuguseid jälgimisvõimalusi, mille eesmärk on koguda tundlikku teavet ohustatud süsteemidest. See teostab erinevaid jälgimisfunktsioone, nagu näiteks failide väljavõtmine nakatunud seadmest, ekraanil ja mikrofonil olevate tegevuste salvestamine, klahvivajutuste logimine ja sirvimisega seotud andmete varastamine.

Selle ründeoperatsiooni üks tähelepanuväärne aspekt on Command-and-Control (C&C) serverite kasutamine, mis jäljendavad Liibüa välisministeeriumiga seotud veebisaite. Neid seaduslikke saite jäljendades loovad ründajad petliku keskkonna, mis aitab nende pahatahtlikku tegevust sooritada. Selle varjatud sõduri kampaania esialgsed jäljed ulatuvad 2022. aasta oktoobrisse, mis näitab, et ründajad on aktiivselt tegutsenud juba pikka aega.

Stealth Soldieri pahavara operaatorid kasutavad sotsiaalse inseneri taktikat

Rünnakukampaania algab sellega, et potentsiaalseid sihtmärke meelitatakse sotsiaalse manipuleerimise taktika abil alla laadima pahatahtlikke allalaadimisprogrammi binaarfaile. Need petlikud kahendfailid toimivad vahendina Stealth Soldieri pahavara edastamiseks, kuvades samal ajal ohvrite tähelepanu kõrvalejuhtimiseks näiliselt kahjutu peibutus-PDF-faili.

Kui Stealth Soldieri pahavara on edukalt juurutatud, muutub selle kohandatud modulaarne implantaat aktiivseks. Seda implantaati, mida arvatavasti kasutatakse avastamise vältimiseks säästlikult, varustab pahavara mitmete jälgimisvõimalustega. See kogub kataloogide loendeid ja brauseri mandaate, logib klahvivajutused, salvestab heli seadme mikrofonist, teeb ekraanipilte, laadib üles failid ja täidab PowerShelli käske.

Pahavara kasutab erinevat tüüpi käske. Mõned käsud on pistikprogrammid, mis laaditakse alla Command-and-Control (C&C) serverist, samas kui teised on pahavara endasse manustatud moodulid. See modulaarne lähenemisviis võimaldab pahavara funktsionaalsuses paindlikkust ja kohanemisvõimet. See viitab ka sellele, et operaatorid hooldavad ja värskendavad pahavara aktiivselt, mida tõendab Stealth Soldieri kolme erineva versiooni avastamine.

Kuigi mõnedele Stealth Soldieri komponentidele pole enam juurdepääsetav, on analüüs näidanud, et teatud funktsioonid, nagu ekraanipildi püüdmine ja brauseri mandaadi vargus, on inspireeritud GitHubis saadaolevatest avatud lähtekoodiga projektidest. See viitab sellele, et Stealth Soldieri taga olevad ohus osalejad ammutasid inspiratsiooni olemasolevatest tööriistadest ja lisasid need oma kohandatud pahavarasse, et suurendada selle võimalusi ja tõhusust.

Sarnasused varem salvestatud pahavaratoimingutega

Lisaks on avastatud, et Stealth Soldieri kasutatav infrastruktuur jagab sarnasusi infrastruktuuriga, mis on seotud eelmise andmepüügikampaaniaga, mida tuntakse nimega Eye on the Nile. Kampaania Eye on the Nile oli 2019. aastal suunatud Egiptuse ajakirjanikele ja inimõigusaktivistidele.

See areng viitab mõlema kampaania eest vastutava ohuteguri võimalikule taastekkele. See viitab sellele, et rühm on keskendunud konkreetselt Egiptuse ja Liibüa üksikisikutele suunatud jälgimistegevusele.

Arvestades pahavara modulaarset olemust ja mitme nakatumisetapi kasutamist, on väga tõenäoline, et ründajad jätkavad oma taktikate ja tehnikate kohandamist. See kohanemisvõime tähendab, et ohus osaleja avaldab lähitulevikus tõenäoliselt pahavara uuendatud versioonid, mis võivad oma seireeesmärkide edendamiseks kasutusele võtta uusi funktsioone ja kõrvalehoidmismanöövreid.