Stealth Soldier -haittaohjelma
\
Kyberturvallisuusyhteisö on äskettäin löytänyt hiljattain tunnistetun mukautetun takaoven nimeltä Stealth Soldier, jota on hyödynnetty sarjassa kehittyneitä ja erityisesti kohdistettuja vakoilukampanjoita Pohjois-Afrikassa.
Stealth Soldier on dokumentoimaton takaoven haittaohjelma, joka sisältää erilaisia valvontaominaisuuksia, joiden tarkoituksena on kerätä arkaluonteisia tietoja vaarantuneista järjestelmistä. Se suorittaa erilaisia valvontatoimintoja, kuten tiedostojen purkamista tartunnan saaneesta laitteesta, toimintojen tallentamista näytölle ja mikrofoniin, näppäinpainallusten kirjaamista ja selaamiseen liittyvien tietojen varastamista.
Eräs huomionarvoinen osa tässä hyökkäysoperaatiossa on Command-and-Control (C&C) -palvelimien käyttö, jotka jäljittelevät Libyan ulkoministeriöön liittyviä verkkosivustoja. Matkimalla näitä laillisia sivustoja hyökkääjät luovat petollisen ympäristön, joka auttaa heidän haitallisten toimiensa suorittamisessa. Tämän Stealth Soldier -kampanjan alkuperäiset jäljet voidaan jäljittää lokakuuhun 2022, mikä viittaa siihen, että hyökkääjät ovat toimineet aktiivisesti huomattavan ajan.
Stealth Soldier -haittaohjelmaoperaattorit käyttävät sosiaalisen suunnittelun taktiikkaa
Hyökkäyskampanja alkaa siten, että mahdolliset kohteet huijataan lataamaan haitallisia latausohjelmien binaaritiedostoja sosiaalisen manipuloinnin keinoin. Nämä petolliset binaarit toimivat keinona toimittaa Stealth Soldier -haittaohjelma ja samalla näyttää vaarattomalta vaikuttava houkutus-PDF-tiedosto häiritäkseen uhrien huomion.
Kun Stealth Soldier -haittaohjelma on otettu käyttöön onnistuneesti, sen mukautettu modulaarinen implantti aktivoituu. Tämä implantti, jota uskotaan käytettävän säästeliäästi havaitsemisen välttämiseksi, varustaa haittaohjelmat erilaisilla valvontaominaisuuksilla. Se kerää hakemistoluetteloita ja selaimen tunnistetietoja, kirjaa näppäinpainallukset, tallentaa ääntä laitteen mikrofonista, kaappaa kuvakaappauksia, lataa tiedostoja ja suorittaa PowerShell-komentoja.
Haittaohjelma käyttää erilaisia komentoja. Jotkut komennot ovat laajennuksia, jotka ladataan Command-and-Control (C&C) -palvelimelta, kun taas toiset ovat itse haittaohjelman sisään upotettuja moduuleja. Tämä modulaarinen lähestymistapa mahdollistaa haittaohjelman toiminnallisuuden joustavuuden ja mukautuvuuden. Se osoittaa myös, että operaattorit ylläpitävät ja päivittävät aktiivisesti haittaohjelmia, mistä on osoituksena kolme erillistä Stealth Soldier -versiota.
Vaikka jotkin Stealth Soldierin osista eivät ole enää käytettävissä, analyysi on paljastanut, että tietyt toiminnot, kuten näytön kaappaus ja selaimen tunnistetietojen varkaus, ovat saaneet inspiraationsa GitHubissa saatavilla olevista avoimen lähdekoodin projekteista. Tämä viittaa siihen, että Stealth Soldierin takana olevat uhkatekijät saivat inspiraatiota olemassa olevista työkaluista ja sisällyttivät ne mukautettuihin haittaohjelmiinsa parantaakseen sen ominaisuuksia ja tehokkuutta.
Yhtäläisyyksiä aiemmin tallennettujen haittaohjelmatoimintojen kanssa
Lisäksi on havaittu, että Stealth Soldierin käyttämillä infrastruktuurilla on yhtäläisyyksiä aiempaan Eye on the Nile -nimiseen phishing-kampanjaan liittyvän infrastruktuurin kanssa. Eye on the Nile -kampanja kohdistui egyptiläisiin toimittajiin ja ihmisoikeusaktivisteihin vuonna 2019.
Tämä kehitys osoittaa molemmista kampanjoista vastaavan uhkatoimijan mahdollisen uudelleen nousun. Se viittaa siihen, että ryhmä keskittyy erityisesti Egyptissä ja Libyassa oleviin henkilöihin kohdistuviin valvontatoimiin.
Ottaen huomioon haittaohjelman modulaarisuuden ja useiden tartuntavaiheiden hyödyntämisen, on erittäin todennäköistä, että hyökkääjät jatkavat taktiikkojensa ja tekniikoiden mukauttamista. Tämä sopeutumiskyky tarkoittaa, että uhkatoimija todennäköisesti julkaisee lähitulevaisuudessa haittaohjelmien päivitettyjä versioita, jotka mahdollisesti tuovat käyttöön uusia toimintoja ja vältteleviä liikkeitä edistääkseen valvontatavoitteitaan.
