Stealth Soldier Malware

\

Zajednica koja se bavi kibernetičkom sigurnošću nedavno je otkrila novoidentificirana prilagođena stražnja vrata pod nazivom Stealth Soldier, koja je korištena u nizu sofisticiranih i posebno ciljanih špijunskih kampanja u Sjevernoj Africi.

Stealth Soldier je nedokumentirani backdoor malware koji pokazuje niz mogućnosti nadzora, usmjerenih na prikupljanje osjetljivih informacija iz kompromitiranih sustava. Obavlja različite funkcije nadzora, poput izdvajanja datoteka sa zaraženog uređaja, snimanja aktivnosti na zaslonu i mikrofonu, bilježenja pritisaka tipki i krađe podataka povezanih s pregledavanjem.

Jedan značajan aspekt ove operacije napada je korištenje poslužitelja za zapovijedanje i kontrolu (C&C) koji oponašaju web stranice povezane s libijskim Ministarstvom vanjskih poslova. Oponašanjem ovih legitimnih stranica, napadači stvaraju prijevarno okruženje koje pomaže u izvršavanju njihovih zlonamjernih aktivnosti. Početni tragovi ove kampanje Stealth Soldier mogu se pratiti do listopada 2022., što ukazuje na to da su napadači aktivno djelovali duže vrijeme.

Operateri zlonamjernog softvera Stealth Soldier koriste se taktikom društvenog inženjeringa

Kampanja napada započinje s potencijalnim ciljevima koji su prevareni da preuzmu zlonamjerne binarne datoteke programa za preuzimanje putem taktike društvenog inženjeringa. Ove varljive binarne datoteke služe kao sredstvo za isporuku zlonamjernog softvera Stealth Soldier, dok istovremeno prikazuju naizgled bezopasnu PDF datoteku mamac kako bi odvratile pažnju žrtava.

Nakon što se zlonamjerni softver Stealth Soldier uspješno implementira, njegov prilagođeni modularni implant postaje aktivan. Ovaj implantat, za koji se vjeruje da se koristi štedljivo kako bi se izbjeglo otkrivanje, oprema zlonamjerni softver nizom mogućnosti nadzora. Prikuplja popise imenika i vjerodajnice preglednika, bilježi pritiske tipki, snima zvuk s mikrofona uređaja, snima snimke zaslona, učitava datoteke i izvršava PowerShell naredbe.

Zlonamjerni softver koristi različite vrste naredbi. Neke su naredbe dodaci koji se preuzimaju s Command-and-Control (C&C) poslužitelja, dok su druge moduli ugrađeni u sam malware. Ovaj modularni pristup omogućuje fleksibilnost i prilagodljivost u funkcionalnosti zlonamjernog softvera. Također ukazuje na to da operateri aktivno održavaju i ažuriraju zlonamjerni softver, što je dokazano otkrićem triju različitih verzija Stealth Soldiera.

Iako neke od komponenti Stealth Soldiera više nisu dostupne, analiza je otkrila da su određene funkcionalnosti, poput snimanja zaslona i krađe vjerodajnica preglednika, inspirirane projektima otvorenog koda dostupnim na GitHubu. To sugerira da su akteri prijetnji koji stoje iza Stealth Soldiera crpili inspiraciju iz postojećih alata i ugradili ih u svoj prilagođeni zlonamjerni softver kako bi poboljšali njegove mogućnosti i učinkovitost.

Sličnosti s prethodno zabilježenim operacijama zlonamjernog softvera

Nadalje, otkriveno je da infrastruktura koju koristi Stealth Soldier dijeli sličnosti s infrastrukturom povezanom s prethodnom phishing kampanjom poznatom kao Eye on the Nile. Kampanja Eye on the Nile bila je usmjerena na egipatske novinare i aktiviste za ljudska prava 2019.

Ovaj razvoj događaja ukazuje na potencijalno oživljavanje aktera prijetnje odgovornog za obje kampanje. Sugerira da je skupina posebno usredotočena na provođenje aktivnosti nadzora usmjerenih na pojedince u Egiptu i Libiji.

S obzirom na modularnu prirodu zlonamjernog softvera i korištenje višestrukih faza infekcije, vrlo je vjerojatno da će napadači nastaviti prilagođavati svoje taktike i tehnike. Ova prilagodljivost implicira da će akter prijetnje vjerojatno objaviti ažurirane verzije zlonamjernog softvera u bliskoj budućnosti, potencijalno uvodeći nove funkcionalnosti i manevre izbjegavanja za postizanje svojih ciljeva nadzora.