„Stealth Soldier“ kenkėjiška programa
\
Kibernetinio saugumo bendruomenė neseniai atrado naujai identifikuotas pasirinktines užpakalines duris, pavadintas „Stealth Soldier“, kuri buvo panaudota daugelyje sudėtingų ir konkrečiai tikslinių šnipinėjimo kampanijų Šiaurės Afrikoje.
„Stealth Soldier“ yra nedokumentuota užpakalinių durų kenkėjiška programa, kuri pasižymi įvairiomis stebėjimo galimybėmis, skirta rinkti neskelbtiną informaciją iš pažeistų sistemų. Ji atlieka įvairias stebėjimo funkcijas, tokias kaip failų ištraukimas iš užkrėsto įrenginio, veiksmų įrašymas ekrane ir mikrofone, klavišų paspaudimų registravimas ir su naršymu susijusių duomenų vagystė.
Vienas pastebimų šios atakos operacijos aspektų yra komandų ir valdymo (C&C) serverių, imituojančių svetaines, susijusias su Libijos užsienio reikalų ministerija, naudojimas. Imituodami šias teisėtas svetaines, užpuolikai sukuria apgaulingą aplinką, kuri padeda vykdyti jų kenkėjišką veiklą. Pirminius šios „Stealth Soldier“ kampanijos pėdsakus galima atsekti 2022 m. spalio mėn., o tai rodo, kad užpuolikai aktyviai veikė ilgą laiką.
„Stealth Soldier“ kenkėjiškų programų operatoriai naudoja socialinės inžinerijos taktiką
Atakos kampanija prasideda tuo, kad potencialūs taikiniai yra apgaudinėjami atsisiųsti kenkėjiškų atsisiuntimo programų dvejetainius failus, naudojant socialinės inžinerijos taktiką. Šie apgaulingi dvejetainiai failai naudojami kaip priemonė „Stealth Soldier“ kenkėjiškai programinei įrangai pristatyti, tuo pačiu metu rodant iš pažiūros nekenksmingą PDF failą, kad būtų atitrauktas aukų dėmesys.
Sėkmingai įdiegus „Stealth Soldier“ kenkėjišką programą, jos pritaikytas modulinis implantas tampa aktyvus. Šis implantas, kuris, kaip manoma, naudojamas taupiai, kad būtų išvengta aptikimo, suteikia kenkėjiškajai programai daugybę stebėjimo galimybių. Jis renka katalogų sąrašus ir naršyklės kredencialus, registruoja klavišų paspaudimus, įrašo garsą iš įrenginio mikrofono, fiksuoja ekrano kopijas, įkelia failus ir vykdo PowerShell komandas.
Kenkėjiška programinė įranga naudoja įvairių tipų komandas. Kai kurios komandos yra įskiepiai, atsisiunčiami iš Command-and-Control (C&C) serverio, o kitos yra moduliai, įterpti į pačią kenkėjišką programą. Šis modulinis metodas leidžia lanksčiai ir prisitaikyti prie kenkėjiškų programų funkcijų. Tai taip pat rodo, kad operatoriai aktyviai prižiūri ir atnaujina kenkėjišką programinę įrangą, kaip rodo trijų skirtingų „Stealth Soldier“ versijų atradimas.
Nors kai kurie „Stealth Soldier“ komponentai nebepasiekiami, analizė atskleidė, kad tam tikras funkcijas, tokias kaip ekrano fiksavimas ir naršyklės kredencialų vagystė, įkvėpė atvirojo kodo projektai, pasiekiami „GitHub“. Tai rodo, kad „Stealth Soldier“ grėsmės veikėjai įkvėpimo sėmėsi iš esamų įrankių ir įtraukė juos į savo pritaikytą kenkėjišką programą, kad padidintų jos galimybes ir efektyvumą.
Panašumai su anksčiau įrašytomis kenkėjiškų programų operacijomis
Be to, buvo nustatyta, kad „Stealth Soldier“ naudojama infrastruktūra yra panaši į infrastruktūrą, susijusią su ankstesne sukčiavimo kampanija, vadinama „Eye on the Nile“. 2019 m. kampanija „Eye on the Nile“ buvo skirta Egipto žurnalistams ir žmogaus teisių aktyvistams.
Ši raida rodo galimą grėsmės veikėjo, atsakingo už abi kampanijas, atgimimą. Tai rodo, kad grupė yra ypač orientuota į stebėjimo veiklą, nukreiptą į asmenis Egipte ir Libijoje.
Atsižvelgiant į kenkėjiškos programos modulinį pobūdį ir kelių užkrėtimo etapų panaudojimą, labai tikėtina, kad užpuolikai ir toliau pritaikys savo taktiką ir metodus. Šis prisitaikymas reiškia, kad grėsmės veikėjas artimiausiu metu greičiausiai išleis atnaujintas kenkėjiškos programinės įrangos versijas, galbūt įdiegs naujas funkcijas ir vengimo manevrus, siekdamas toliau įgyvendinti savo stebėjimo tikslus.
