תוכנה זדונית של חייל התגנבות

\

קהילת אבטחת הסייבר גילתה לאחרונה דלת אחורית מותאמת אישית שזוהתה בשם החייל התגנבות, אשר נוצלה בסדרה של מסעות ריגול מתוחכמים וממוקדים במיוחד בצפון אפריקה.

The Stealth Soldier הוא תוכנה זדונית לא מתועדת בדלת אחורית שמציגה מגוון של יכולות מעקב, שמטרתן לאסוף מידע רגיש ממערכות שנפגעו. הוא מבצע פונקציות מעקב שונות, כגון חילוץ קבצים מהמכשיר הנגוע, הקלטת פעילויות על המסך והמיקרופון, רישום הקשות וגניבת נתונים הקשורים לגלישה.

היבט בולט אחד של פעולת התקפה זו הוא השימוש בשרתי פיקוד ושליטה (C&C) המחקים אתרים הקשורים למשרד החוץ הלובי. על ידי חיקוי אתרים לגיטימיים אלה, התוקפים יוצרים סביבה מטעה המסייעת בביצוע הפעילויות הזדוניות שלהם. ניתן לאתר את העקבות הראשוניים של קמפיין חייל חמקן זה לאוקטובר 2022, מה שמצביע על כך שהתוקפים פעלו באופן פעיל במשך תקופה ניכרת.

מפעילי תוכנות זדוניות של חייל החמקן משתמשים בטקטיקות הנדסה חברתית

קמפיין התקיפה מתחיל עם מטרות פוטנציאליות שמורמות להורדת קבצי הורדה זדוניים באמצעות טקטיקות של הנדסה חברתית. הקבצים הבינאריים המטעים הללו משמשים כאמצעי לספק את התוכנה הזדונית של חייל ההתגנבות, תוך הצגת קובץ PDF לא מזיק לכאורה כדי להסיח את דעתם של הקורבנות.

לאחר פריסה מוצלחת של התוכנה הזדונית של חייל ההתגנבות, השתל המודולרי המותאם אישית שלה הופך לפעיל. שתל זה, שלדעתו משמש במשורה כדי למנוע זיהוי, מצייד את התוכנה הזדונית במגוון של יכולות מעקב. הוא אוסף רשימות ספריות ואישורי דפדפן, רושם הקשות, מקליט אודיו מהמיקרופון של המכשיר, מצלם צילומי מסך, מעלה קבצים ומבצע פקודות PowerShell.

התוכנה הזדונית משתמשת בסוגים שונים של פקודות. חלק מהפקודות הן תוספים שהורדו משרת Command-and-Control (C&C), בעוד שאחרות הן מודולים המוטמעים בתוך התוכנה הזדונית עצמה. גישה מודולרית זו מאפשרת גמישות והתאמה בפונקציונליות של התוכנה הזדונית. זה גם מצביע על כך שהמפעילים מתחזקים ומעדכנים באופן פעיל את התוכנה הזדונית, כפי שמעידה גילוי של שלוש גרסאות נפרדות של חייל ההתגנבות.

למרות שחלק מהרכיבים של חייל ההתגנבות כבר אינם נגישים, ניתוח גילה שפונקציונליות מסוימות, כגון לכידת מסך וגניבת אישורי דפדפן, נוצרו בהשראת פרויקטים בקוד פתוח הזמינים ב-GitHub. זה מצביע על כך ששחקני האיום מאחורי Stealth Soldier שאבו השראה מכלים קיימים ושילבו אותם בתוכנות הזדוניות המותאמות אישית שלהם כדי לשפר את היכולות והיעילות שלה.

קווי דמיון עם פעולות תוכנה זדונית שהוקלטו בעבר

יתרה מזאת, התגלה כי התשתית המשמשת את חייל החמקן חולקת קווי דמיון עם התשתית המקושרת למסע דיוג קודם הידוע בשם Eye on the Nile. קמפיין העין על הנילוס כוון לעיתונאים ופעילי זכויות אדם מצריים ב-2019.

התפתחות זו מצביעה על התחייה הפוטנציאלית של שחקן האיום האחראי לשני הקמפיינים. הוא מציע שהקבוצה מתמקדת במיוחד בביצוע פעילויות מעקב המכוונות ליחידים במצרים ובלוב.

בהתחשב באופי המודולרי של התוכנה הזדונית ובניצול שלבי הדבקה מרובים, סביר מאוד שהתוקפים ימשיכו להתאים את הטקטיקה והטכניקות שלהם. יכולת הסתגלות זו מרמזת ששחקן האיום ככל הנראה ישחרר גירסאות מעודכנות של התוכנה הזדונית בעתיד הקרוב, וייתכן שיציג פונקציונליות חדשות ותמרוני התחמקות כדי לקדם את מטרות המעקב שלהם.