Malware soldato invisibile
\
La comunità della sicurezza informatica ha recentemente scoperto una backdoor personalizzata recentemente identificata chiamata Stealth Soldier, che è stata utilizzata in una serie di campagne di spionaggio sofisticate e specificamente mirate in Nord Africa.
The Stealth Soldier è un malware backdoor non documentato che presenta una gamma di capacità di sorveglianza, volte a raccogliere informazioni sensibili da sistemi compromessi. Svolge varie funzioni di sorveglianza, come l'estrazione di file dal dispositivo infetto, la registrazione di attività sullo schermo e sul microfono, la registrazione di sequenze di tasti e il furto di dati relativi alla navigazione.
Un aspetto degno di nota di questa operazione di attacco è l'uso di server Command-and-Control (C&C) che imitano i siti web associati al Ministero degli Affari Esteri libico. Imitando questi siti legittimi, gli aggressori creano un ambiente ingannevole che aiuta nell'esecuzione delle loro attività dannose. Le tracce iniziali di questa campagna di Stealth Soldier risalgono all'ottobre 2022, indicando che gli aggressori hanno operato attivamente per un periodo considerevole.
Gli operatori di malware Stealth Soldier utilizzano tattiche di ingegneria sociale
La campagna di attacco inizia con potenziali obiettivi che vengono indotti a scaricare binari di downloader dannosi attraverso tattiche di ingegneria sociale. Questi binari ingannevoli servono come mezzo per distribuire il malware Stealth Soldier, visualizzando contemporaneamente un file PDF esca apparentemente innocuo per distrarre le vittime.
Una volta distribuito con successo il malware Stealth Soldier, il suo impianto modulare personalizzato diventa attivo. Questo impianto, che si ritiene venga utilizzato con parsimonia per evitare il rilevamento, dota il malware di una serie di capacità di sorveglianza. Raccoglie elenchi di directory e credenziali del browser, registra le sequenze di tasti, registra l'audio dal microfono del dispositivo, acquisisce schermate, carica file ed esegue i comandi di PowerShell.
Il malware utilizza diversi tipi di comandi. Alcuni comandi sono plug-in scaricati dal server Command-and-Control (C&C), mentre altri sono moduli incorporati all'interno del malware stesso. Questo approccio modulare consente flessibilità e adattabilità nella funzionalità del malware. Indica inoltre che gli operatori mantengono e aggiornano attivamente il malware, come evidenziato dalla scoperta di tre versioni distinte dello Stealth Soldier.
Sebbene alcuni dei componenti di Stealth Soldier non siano più accessibili, l'analisi ha rivelato che alcune funzionalità, come la cattura dello schermo e il furto delle credenziali del browser, sono state ispirate da progetti open source disponibili su GitHub. Ciò suggerisce che gli attori delle minacce dietro Stealth Soldier si sono ispirati agli strumenti esistenti e li hanno incorporati nel loro malware personalizzato per migliorarne le capacità e l'efficacia.
Somiglianze con operazioni di malware registrate in precedenza
Inoltre, è stato scoperto che l'infrastruttura utilizzata dallo Stealth Soldier condivide somiglianze con l'infrastruttura legata a una precedente campagna di phishing nota come Eye on the Nile. La campagna Eye on the Nile ha preso di mira giornalisti egiziani e attivisti per i diritti umani nel 2019.
Questo sviluppo indica la potenziale rinascita dell'attore minaccia responsabile di entrambe le campagne. Suggerisce che il gruppo si concentri specificamente sulla conduzione di attività di sorveglianza contro individui in Egitto e Libia.
Considerando la natura modulare del malware e l'utilizzo di più fasi di infezione, è altamente probabile che gli aggressori continueranno ad adattare le loro tattiche e tecniche. Questa adattabilità implica che l'autore della minaccia probabilmente rilascerà versioni aggiornate del malware nel prossimo futuro, introducendo potenzialmente nuove funzionalità e manovre evasive per promuovere i propri obiettivi di sorveglianza.
