Stealth Soldier Malware

\

A kiberbiztonsági közösség a közelmúltban fedezte fel a Stealth Soldier nevű újonnan azonosított egyéni hátsó ajtót, amelyet számos kifinomult és kifejezetten célzott kémkampányban használtak Észak-Afrikában.

A Stealth Soldier egy nem dokumentált, hátsó ajtóban működő rosszindulatú program, amely számos megfigyelési képességgel rendelkezik, és célja, hogy érzékeny információkat gyűjtsön a feltört rendszerekről. Különféle megfigyelési funkciókat lát el, például fájlok kibontását a fertőzött eszközről, tevékenységeket rögzít a képernyőn és mikrofonon, naplózza a billentyűleütéseket, valamint ellopja a böngészéssel kapcsolatos adatokat.

Ennek a támadási műveletnek az egyik figyelemre méltó aspektusa a Command-and-Control (C&C) szerverek használata, amelyek a líbiai külügyminisztériumhoz kapcsolódó webhelyeket utánozzák. Ezen legitim webhelyek utánzásával a támadók megtévesztő környezetet hoznak létre, amely segíti rosszindulatú tevékenységeik végrehajtását. A Stealth Soldier kampány kezdeti nyomai 2022 októberéig vezethetők vissza, ami azt jelzi, hogy a támadók már jó ideje aktívan működnek.

A Stealth Soldier rosszindulatú szoftverek üzemeltetői szociális tervezési taktikát alkalmaznak

A támadási kampány azzal kezdődik, hogy a potenciális célpontokat ráveszik arra, hogy rosszindulatú letöltő bináris fájlokat töltsenek le szociális tervezési taktikák segítségével. Ezek a megtévesztő binárisok eszközként szolgálnak a Stealth Soldier rosszindulatú program továbbítására, miközben egy látszólag ártalmatlan csali PDF-fájlt jelenítenek meg, hogy elvonják az áldozatok figyelmét.

A Stealth Soldier rosszindulatú program sikeres telepítése után az egyéni moduláris implantátum aktívvá válik. Ez az implantátum, amelyet takarékosan használnak az észlelés elkerülése érdekében, számos megfigyelési képességgel látja el a kártevőt. Összegyűjti a címtárlistákat és a böngésző hitelesítő adatait, naplózza a billentyűleütéseket, hangot rögzít az eszköz mikrofonjából, képernyőképeket készít, fájlokat tölt fel és PowerShell-parancsokat hajt végre.

A rosszindulatú program különböző típusú parancsokat alkalmaz. Egyes parancsok beépülő modulok, amelyeket a Command-and-Control (C&C) kiszolgálóról töltenek le, míg mások a rosszindulatú programba beágyazott modulok. Ez a moduláris megközelítés rugalmasságot és alkalmazkodóképességet tesz lehetővé a rosszindulatú program működésében. Ez azt is jelzi, hogy az üzemeltetők aktívan karbantartják és frissítik a rosszindulatú programokat, amint azt a Stealth Soldier három különböző verziójának felfedezése is bizonyítja.

Bár a Stealth Soldier egyes összetevői már nem hozzáférhetők, az elemzés feltárta, hogy bizonyos funkciókat, például a képernyőrögzítést és a böngésző hitelesítő adatainak ellopását, a GitHubon elérhető nyílt forráskódú projektek inspirálták. Ez azt sugallja, hogy a Stealth Soldier mögött álló fenyegetés szereplői a meglévő eszközökből merítettek ihletet, és beépítették azokat egyéni rosszindulatú szoftvereikbe, hogy javítsák annak képességeit és hatékonyságát.

Hasonlóságok a korábban rögzített rosszindulatú programokkal

Ezenkívül felfedezték, hogy a Stealth Soldier által használt infrastruktúra hasonlóságot mutat az Eye on the Nile néven ismert korábbi adathalász kampányhoz kapcsolódó infrastruktúrával. Az Eye on the Nile kampány 2019-ben egyiptomi újságírókat és emberi jogi aktivistákat célzott meg.

Ez a fejlemény mindkét kampányért felelős fenyegetés szereplőjének potenciális újjáéledését jelzi. Azt sugallja, hogy a csoport kifejezetten az egyiptomi és líbiai személyeket célzó megfigyelési tevékenységekre összpontosít.

Figyelembe véve a rosszindulatú program moduláris jellegét és a fertőzés több szakaszának kihasználását, nagyon valószínű, hogy a támadók továbbra is módosítani fogják taktikájukat és technikáikat. Ez az alkalmazkodóképesség azt jelenti, hogy a fenyegetés szereplője valószínűleg a közeljövőben kiadja a rosszindulatú program frissített verzióit, potenciálisan új funkciókat és kitérő manővereket vezetve be felügyeleti céljainak előmozdítása érdekében.