بدافزار سرباز پنهانکار

\

جامعه امنیت سایبری اخیراً یک درب پشتی سفارشی تازه شناسایی شده به نام سرباز پنهانکار را کشف کرده است که در یک سری کمپین‌های جاسوسی پیچیده و هدفمند در شمال آفریقا مورد استفاده قرار گرفته است.

The Stealth Soldier یک بدافزار در پشتی غیرمستند است که طیف وسیعی از قابلیت‌های نظارتی را با هدف جمع‌آوری اطلاعات حساس از سیستم‌های در معرض خطر نشان می‌دهد. عملکردهای نظارتی مختلفی مانند استخراج فایل‌ها از دستگاه آلوده، ضبط فعالیت‌ها بر روی صفحه نمایش و میکروفون، ثبت ضربه‌های کلید، و سرقت داده‌های مربوط به مرور را انجام می‌دهد.

یکی از جنبه های قابل توجه این عملیات حمله استفاده از سرورهای فرماندهی و کنترل (C&C) است که از وب سایت های مرتبط با وزارت امور خارجه لیبی تقلید می کنند. با تقلید از این سایت های قانونی، مهاجمان یک محیط فریبنده ایجاد می کنند که به اجرای فعالیت های مخرب آنها کمک می کند. ردپای اولیه این کمپین سرباز پنهانکار را می توان به اکتبر 2022 ردیابی کرد، که نشان می دهد مهاجمان برای مدت قابل توجهی فعال بوده اند.

اپراتورهای بدافزار The Stealth Soldier از تاکتیک های مهندسی اجتماعی استفاده می کنند

کمپین حمله با فریب دادن اهداف بالقوه برای دانلود باینری های دانلود کننده مخرب از طریق تاکتیک های مهندسی اجتماعی آغاز می شود. این باینری های فریبنده به عنوان وسیله ای برای ارائه بدافزار Stealth Soldier عمل می کنند، در حالی که به طور همزمان یک فایل پی دی اف فریبنده به ظاهر بی ضرر را نمایش می دهند تا حواس قربانیان را پرت کنند.

هنگامی که بدافزار Stealth Soldier با موفقیت مستقر شد، ایمپلنت مدولار سفارشی آن فعال می شود. این ایمپلنت که اعتقاد بر این است که برای جلوگیری از شناسایی به مقدار کم استفاده می شود، بدافزار را به طیف وسیعی از قابلیت های نظارتی مجهز می کند. این فهرست فهرست‌های دایرکتوری و اعتبار مرورگر را جمع‌آوری می‌کند، ضربات کلید را ثبت می‌کند، صدا را از میکروفون دستگاه ضبط می‌کند، از صفحه‌نمایش عکس می‌گیرد، فایل‌ها را آپلود می‌کند و دستورات PowerShell را اجرا می‌کند.

این بدافزار انواع مختلفی از دستورات را به کار می گیرد. برخی از دستورات افزونه هایی هستند که از سرور Command-and-Control (C&C) دانلود می شوند، در حالی که برخی دیگر ماژول هایی هستند که در خود بدافزار تعبیه شده اند. این رویکرد ماژولار به انعطاف پذیری و سازگاری در عملکرد بدافزار اجازه می دهد. این همچنین نشان می دهد که اپراتورها به طور فعال بدافزار را نگهداری و به روز می کنند، همانطور که با کشف سه نسخه مجزا از سرباز پنهانکار مشهود است.

اگرچه برخی از اجزای سرباز مخفی دیگر در دسترس نیستند، تجزیه و تحلیل نشان داده است که برخی از عملکردها، مانند ضبط صفحه و سرقت اعتبار مرورگر، از پروژه های منبع باز موجود در GitHub الهام گرفته شده اند. این نشان می دهد که عوامل تهدید پشت سرباز مخفی از ابزارهای موجود الهام گرفته و آنها را در بدافزار سفارشی خود گنجانده اند تا قابلیت ها و اثربخشی آن را افزایش دهند.

شباهت با عملیات بدافزار ثبت شده قبلی

علاوه بر این، کشف شده است که زیرساخت استفاده شده توسط سرباز پنهانکار شباهت هایی با زیرساخت مرتبط با یک کمپین فیشینگ قبلی به نام Eye on the Nile دارد. کمپین چشم روی نیل در سال 2019 خبرنگاران و فعالان حقوق بشر مصری را هدف قرار داد.

این پیشرفت نشان‌دهنده تجدید حیات بالقوه عامل تهدید مسئول هر دو کمپین است. این نشان می دهد که این گروه به طور خاص بر انجام فعالیت های نظارتی با هدف قرار دادن افراد در مصر و لیبی متمرکز شده است.

با توجه به ماهیت ماژولار بدافزار و استفاده از چندین مرحله عفونت، احتمال اینکه مهاجمان همچنان تاکتیک ها و تکنیک های خود را تطبیق دهند بسیار زیاد است. این سازگاری نشان می‌دهد که عامل تهدید احتمالاً نسخه‌های به‌روزشده بدافزار را در آینده نزدیک منتشر می‌کند و به طور بالقوه قابلیت‌های جدید و مانورهای فراری را برای پیشبرد اهداف نظارتی خود معرفی می‌کند.