Perisian Hasad Stealth Soldier
\
Komuniti keselamatan siber baru-baru ini telah menemui pintu belakang tersuai yang baru dikenal pasti dipanggil Stealth Soldier, yang telah digunakan dalam siri kempen pengintipan yang canggih dan disasarkan secara khusus di Afrika Utara.
Stealth Soldier ialah perisian hasad pintu belakang tanpa dokumen yang mempamerkan pelbagai keupayaan pengawasan, bertujuan untuk mengumpulkan maklumat sensitif daripada sistem yang terjejas. Ia menjalankan pelbagai fungsi pengawasan, seperti mengekstrak fail daripada peranti yang dijangkiti, merakam aktiviti pada skrin dan mikrofon, mengelog ketukan kekunci, dan mencuri data berkaitan penyemakan imbas.
Satu aspek yang ketara dalam operasi serangan ini ialah penggunaan pelayan Command-and-Control (C&C) yang meniru tapak web yang dikaitkan dengan Kementerian Luar Negeri Libya. Dengan meniru tapak yang sah ini, penyerang mewujudkan persekitaran yang mengelirukan yang membantu dalam pelaksanaan aktiviti berniat jahat mereka. Jejak awal kempen Stealth Soldier ini boleh dikesan sejak Oktober 2022, menunjukkan bahawa penyerang telah beroperasi secara aktif untuk tempoh yang agak lama.
Pengendali Perisian Hasad Stealth Soldier Menggunakan Taktik Kejuruteraan Sosial
Kempen serangan bermula dengan sasaran berpotensi ditipu untuk memuat turun binari pemuat turun berniat jahat melalui taktik kejuruteraan sosial. Perduaan yang mengelirukan ini berfungsi sebagai satu cara untuk menghantar perisian hasad Stealth Soldier, sambil pada masa yang sama memaparkan fail PDF tipuan yang kelihatan tidak berbahaya untuk mengalih perhatian mangsa.
Setelah perisian hasad Stealth Soldier berjaya digunakan, implan modular tersuainya menjadi aktif. Implan ini, dipercayai digunakan dengan berhati-hati untuk mengelakkan pengesanan, melengkapkan perisian hasad dengan pelbagai keupayaan pengawasan. Ia mengumpulkan penyenaraian direktori dan bukti kelayakan penyemak imbas, log ketukan kekunci, merekodkan audio daripada mikrofon peranti, menangkap tangkapan skrin, memuat naik fail dan melaksanakan perintah PowerShell.
Malware menggunakan pelbagai jenis arahan. Sesetengah arahan ialah pemalam yang dimuat turun daripada pelayan Command-and-Control (C&C), manakala yang lain ialah modul yang dibenamkan dalam perisian hasad itu sendiri. Pendekatan modular ini membolehkan fleksibiliti dan kebolehsuaian dalam fungsi perisian hasad. Ia juga menunjukkan bahawa pengendali secara aktif menyelenggara dan mengemas kini perisian hasad, seperti yang dibuktikan oleh penemuan tiga versi berbeza Stealth Soldier.
Walaupun beberapa komponen Stealth Soldier tidak lagi boleh diakses, analisis telah mendedahkan bahawa fungsi tertentu, seperti tangkapan skrin dan pencurian bukti kelayakan penyemak imbas, telah diilhamkan oleh projek sumber terbuka yang tersedia di GitHub. Ini menunjukkan bahawa pelaku ancaman di sebalik Stealth Soldier mendapat inspirasi daripada alatan sedia ada dan memasukkannya ke dalam perisian hasad tersuai mereka untuk meningkatkan keupayaan dan keberkesanannya.
Persamaan dengan Operasi Perisian Hasad Tercatat Sebelum ini
Tambahan pula, didapati bahawa infrastruktur yang digunakan oleh Stealth Soldier berkongsi persamaan dengan infrastruktur yang dikaitkan dengan kempen pancingan data sebelum ini yang dikenali sebagai Eye on the Nile. Kempen Eye on the Nile menyasarkan wartawan Mesir dan aktivis hak asasi manusia pada 2019.
Perkembangan ini menunjukkan potensi kebangkitan semula aktor ancaman yang bertanggungjawab untuk kedua-dua kempen. Ia mencadangkan bahawa kumpulan itu tertumpu secara khusus untuk menjalankan aktiviti pengawasan yang menyasarkan individu di Mesir dan Libya.
Memandangkan sifat modular perisian hasad dan penggunaan pelbagai peringkat jangkitan, kemungkinan besar penyerang akan terus menyesuaikan taktik dan teknik mereka. Kesesuaian ini membayangkan bahawa pelaku ancaman berkemungkinan akan mengeluarkan versi perisian hasad yang dikemas kini dalam masa terdekat, yang berpotensi memperkenalkan fungsi baharu dan gerakan mengelak untuk meneruskan objektif pengawasan mereka.
