بدافزار سرباز پنهانکار
\
جامعه امنیت سایبری اخیراً یک درب پشتی سفارشی تازه شناسایی شده به نام سرباز پنهانکار را کشف کرده است که در یک سری کمپینهای جاسوسی پیچیده و هدفمند در شمال آفریقا مورد استفاده قرار گرفته است.
The Stealth Soldier یک بدافزار در پشتی غیرمستند است که طیف وسیعی از قابلیتهای نظارتی را با هدف جمعآوری اطلاعات حساس از سیستمهای در معرض خطر نشان میدهد. عملکردهای نظارتی مختلفی مانند استخراج فایلها از دستگاه آلوده، ضبط فعالیتها بر روی صفحه نمایش و میکروفون، ثبت ضربههای کلید، و سرقت دادههای مربوط به مرور را انجام میدهد.
یکی از جنبه های قابل توجه این عملیات حمله استفاده از سرورهای فرماندهی و کنترل (C&C) است که از وب سایت های مرتبط با وزارت امور خارجه لیبی تقلید می کنند. با تقلید از این سایت های قانونی، مهاجمان یک محیط فریبنده ایجاد می کنند که به اجرای فعالیت های مخرب آنها کمک می کند. ردپای اولیه این کمپین سرباز پنهانکار را می توان به اکتبر 2022 ردیابی کرد، که نشان می دهد مهاجمان برای مدت قابل توجهی فعال بوده اند.
اپراتورهای بدافزار The Stealth Soldier از تاکتیک های مهندسی اجتماعی استفاده می کنند
کمپین حمله با فریب دادن اهداف بالقوه برای دانلود باینری های دانلود کننده مخرب از طریق تاکتیک های مهندسی اجتماعی آغاز می شود. این باینری های فریبنده به عنوان وسیله ای برای ارائه بدافزار Stealth Soldier عمل می کنند، در حالی که به طور همزمان یک فایل پی دی اف فریبنده به ظاهر بی ضرر را نمایش می دهند تا حواس قربانیان را پرت کنند.
هنگامی که بدافزار Stealth Soldier با موفقیت مستقر شد، ایمپلنت مدولار سفارشی آن فعال می شود. این ایمپلنت که اعتقاد بر این است که برای جلوگیری از شناسایی به مقدار کم استفاده می شود، بدافزار را به طیف وسیعی از قابلیت های نظارتی مجهز می کند. این فهرست فهرستهای دایرکتوری و اعتبار مرورگر را جمعآوری میکند، ضربات کلید را ثبت میکند، صدا را از میکروفون دستگاه ضبط میکند، از صفحهنمایش عکس میگیرد، فایلها را آپلود میکند و دستورات PowerShell را اجرا میکند.
این بدافزار انواع مختلفی از دستورات را به کار می گیرد. برخی از دستورات افزونه هایی هستند که از سرور Command-and-Control (C&C) دانلود می شوند، در حالی که برخی دیگر ماژول هایی هستند که در خود بدافزار تعبیه شده اند. این رویکرد ماژولار به انعطاف پذیری و سازگاری در عملکرد بدافزار اجازه می دهد. این همچنین نشان می دهد که اپراتورها به طور فعال بدافزار را نگهداری و به روز می کنند، همانطور که با کشف سه نسخه مجزا از سرباز پنهانکار مشهود است.
اگرچه برخی از اجزای سرباز مخفی دیگر در دسترس نیستند، تجزیه و تحلیل نشان داده است که برخی از عملکردها، مانند ضبط صفحه و سرقت اعتبار مرورگر، از پروژه های منبع باز موجود در GitHub الهام گرفته شده اند. این نشان می دهد که عوامل تهدید پشت سرباز مخفی از ابزارهای موجود الهام گرفته و آنها را در بدافزار سفارشی خود گنجانده اند تا قابلیت ها و اثربخشی آن را افزایش دهند.
شباهت با عملیات بدافزار ثبت شده قبلی
علاوه بر این، کشف شده است که زیرساخت استفاده شده توسط سرباز پنهانکار شباهت هایی با زیرساخت مرتبط با یک کمپین فیشینگ قبلی به نام Eye on the Nile دارد. کمپین چشم روی نیل در سال 2019 خبرنگاران و فعالان حقوق بشر مصری را هدف قرار داد.
این پیشرفت نشاندهنده تجدید حیات بالقوه عامل تهدید مسئول هر دو کمپین است. این نشان می دهد که این گروه به طور خاص بر انجام فعالیت های نظارتی با هدف قرار دادن افراد در مصر و لیبی متمرکز شده است.
با توجه به ماهیت ماژولار بدافزار و استفاده از چندین مرحله عفونت، احتمال اینکه مهاجمان همچنان تاکتیک ها و تکنیک های خود را تطبیق دهند بسیار زیاد است. این سازگاری نشان میدهد که عامل تهدید احتمالاً نسخههای بهروزشده بدافزار را در آینده نزدیک منتشر میکند و به طور بالقوه قابلیتهای جدید و مانورهای فراری را برای پیشبرد اهداف نظارتی خود معرفی میکند.