Stealth Soldier ļaunprātīga programmatūra
\
Kiberdrošības kopiena nesen ir atklājusi tikko identificētu pielāgotu aizmugures durvis ar nosaukumu Stealth Soldier, kas ir izmantota virknē izsmalcinātu un īpaši mērķtiecīgu spiegošanas kampaņu Ziemeļāfrikā.
Stealth Soldier ir nedokumentēta aizmugures ļaunprātīga programmatūra, kurai ir virkne novērošanas iespēju, kuras mērķis ir apkopot sensitīvu informāciju no apdraudētām sistēmām. Tā veic dažādas novērošanas funkcijas, piemēram, failu izvilkšanu no inficētās ierīces, darbību ierakstīšanu ekrānā un mikrofonā, taustiņu nospiešanu reģistrēšanu un ar pārlūkošanu saistītu datu zagšanu.
Viens no šīs uzbrukuma darbības ievērojamākajiem aspektiem ir vadības un kontroles (C&C) serveru izmantošana, kas atdarina vietnes, kas saistītas ar Lībijas Ārlietu ministriju. Atdarinot šīs likumīgās vietnes, uzbrucēji rada maldinošu vidi, kas palīdz veikt viņu ļaunprātīgās darbības. Šīs Stealth Soldier kampaņas sākotnējās pēdas var izsekot līdz 2022. gada oktobrim, kas liecina, ka uzbrucēji aktīvi darbojušies jau krietnu laiku.
Stealth Soldier ļaunprātīgas programmatūras operatori izmanto sociālās inženierijas taktiku
Uzbrukuma kampaņa sākas ar potenciālo mērķu viltošanu, lai lejupielādētu ļaunprātīgu lejupielādētāja bināros failus, izmantojot sociālās inženierijas taktikas. Šie maldinošie binārie faili kalpo kā līdzeklis, lai piegādātu Stealth Soldier ļaunprogrammatūru, vienlaikus parādot šķietami nekaitīgu mānekļu PDF failu, lai novērstu upuru uzmanību.
Kad Stealth Soldier ļaunprogrammatūra ir veiksmīgi izvietota, tās pielāgotais modulārais implants kļūst aktīvs. Šis implants, kas, domājams, tiek izmantots taupīgi, lai izvairītos no atklāšanas, nodrošina ļaunprātīgu programmatūru ar virkni novērošanas iespēju. Tas apkopo direktoriju sarakstus un pārlūkprogrammas akreditācijas datus, reģistrē taustiņsitienus, ieraksta audio no ierīces mikrofona, tver ekrānuzņēmumus, augšupielādē failus un izpilda PowerShell komandas.
Ļaunprātīgā programmatūra izmanto dažāda veida komandas. Dažas komandas ir spraudņi, kas tiek lejupielādēti no Command-and-Control (C&C) servera, savukārt citas ir moduļi, kas iegulti pašā ļaunprogrammatūrā. Šī modulārā pieeja nodrošina ļaunprātīgas programmatūras funkcionalitātes elastību un pielāgojamību. Tas arī norāda, ka operatori aktīvi uztur un atjaunina ļaunprogrammatūru, par ko liecina trīs atšķirīgu Stealth Soldier versiju atklāšana.
Lai gan daži Stealth Soldier komponenti vairs nav pieejami, analīze atklāja, ka noteiktas funkcijas, piemēram, ekrāna tveršana un pārlūkprogrammas akreditācijas datu zādzība, ir iedvesmotas no GitHub pieejamajiem atvērtā pirmkoda projektiem. Tas liek domāt, ka Stealth Soldier apdraudējuma dalībnieki smēlušies iedvesmu no esošajiem rīkiem un iekļāvuši tos savā pielāgotajā ļaunprogrammatūrā, lai uzlabotu tās iespējas un efektivitāti.
Līdzības ar iepriekš reģistrētām ļaunprātīgas programmatūras darbībām
Turklāt ir atklāts, ka Stealth Soldier izmantotajai infrastruktūrai ir līdzības ar infrastruktūru, kas saistīta ar iepriekšējo pikšķerēšanas kampaņu, kas pazīstama kā Eye on the Nile. Kampaņa Eye on the Nile bija vērsta uz Ēģiptes žurnālistiem un cilvēktiesību aktīvistiem 2019. gadā.
Šī attīstība norāda uz iespējamu draudu dalībnieka atdzimšanu, kas ir atbildīgs par abām kampaņām. Tas liecina, ka grupa ir īpaši koncentrējusies uz novērošanas darbību veikšanu, kas vērsta uz personām Ēģiptē un Lībijā.
Ņemot vērā ļaunprātīgās programmatūras modulāro raksturu un vairāku infekcijas posmu izmantošanu, ļoti iespējams, ka uzbrucēji turpinās pielāgot savu taktiku un paņēmienus. Šī pielāgošanās spēja nozīmē, ka apdraudējuma dalībnieks, iespējams, tuvākajā nākotnē izlaidīs atjauninātas ļaunprātīgas programmatūras versijas, iespējams, ieviesīs jaunas funkcijas un izvairīšanās manevrus, lai veicinātu savus uzraudzības mērķus.
