Stealth Soldier Malware

\

Nettsikkerhetssamfunnet har nylig oppdaget en nylig identifisert tilpasset bakdør kalt Stealth Soldier, som har blitt brukt i en serie sofistikerte og spesifikt målrettede spionasjekampanjer i Nord-Afrika.

The Stealth Soldier er en udokumentert bakdør malware som viser en rekke overvåkingsfunksjoner, rettet mot å samle sensitiv informasjon fra kompromitterte systemer. Den utfører ulike overvåkingsfunksjoner, som å trekke ut filer fra den infiserte enheten, ta opp aktiviteter på skjermen og mikrofonen, logge tastetrykk og stjele nettleserelaterte data.

Et bemerkelsesverdig aspekt ved denne angrepsoperasjonen er bruken av Command-and-Control-servere (C&C) som imiterer nettsteder knyttet til det libyske utenriksdepartementet. Ved å etterligne disse legitime nettstedene, skaper angriperne et villedende miljø som hjelper til med utførelsen av deres ondsinnede aktiviteter. De første sporene etter denne Stealth Soldier-kampanjen kan spores tilbake til oktober 2022, noe som indikerer at angriperne har drevet aktivt i en betydelig periode.

The Stealth Soldier Operatører av skadelig programvare bruker sosial ingeniørtaktikk

Angrepskampanjen starter med potensielle mål som blir lurt til å laste ned ondsinnede nedlastingsbinærfiler gjennom taktikk for sosial ingeniørkunst. Disse villedende binære filene fungerer som et middel til å levere Stealth Soldier malware, samtidig som de viser en tilsynelatende harmløs lokke-PDF-fil for å distrahere ofrene.

Så snart Stealth Soldier-malwaren er implementert, blir det tilpassede modulære implantatet aktivt. Dette implantatet, som antas å brukes sparsomt for å unngå oppdagelse, utstyrer skadevaren med en rekke overvåkingsfunksjoner. Den samler katalogoppføringer og nettleserlegitimasjon, logger tastetrykk, tar opp lyd fra enhetens mikrofon, tar skjermbilder, laster opp filer og utfører PowerShell-kommandoer.

Skadevaren bruker forskjellige typer kommandoer. Noen kommandoer er plugins som lastes ned fra Command-and-Control-serveren (C&C), mens andre er moduler innebygd i selve skadelig programvare. Denne modulære tilnærmingen gir mulighet for fleksibilitet og tilpasningsevne i funksjonaliteten til skadevare. Det indikerer også at operatørene aktivt vedlikeholder og oppdaterer skadelig programvare, noe som fremgår av oppdagelsen av tre forskjellige versjoner av Stealth Soldier.

Selv om noen av komponentene til Stealth Soldier ikke lenger er tilgjengelige, har analyser avslørt at visse funksjoner, som skjermfangst og nettleserlegitimasjonstyveri, ble inspirert av åpen kildekode-prosjekter tilgjengelig på GitHub. Dette antyder at trusselaktørene bak Stealth Soldier hentet inspirasjon fra eksisterende verktøy og inkorporerte dem i deres egendefinerte skadevare for å forbedre dens evner og effektivitet.

Likheter med tidligere registrerte skadelig programvareoperasjoner

Videre har det blitt oppdaget at infrastrukturen som brukes av Stealth Soldier deler likheter med infrastrukturen knyttet til en tidligere phishing-kampanje kjent som Eye on the Nile. Eye on the Nile-kampanjen var rettet mot egyptiske journalister og menneskerettighetsaktivister i 2019.

Denne utviklingen indikerer potensiell gjenoppblomstring av trusselaktøren som er ansvarlig for begge kampanjene. Det antyder at gruppen er spesifikt fokusert på å gjennomføre overvåkingsaktiviteter rettet mot enkeltpersoner i Egypt og Libya.

Tatt i betraktning den modulære naturen til skadevaren og bruken av flere infeksjonsstadier, er det høyst sannsynlig at angriperne vil fortsette å tilpasse taktikken og teknikkene sine. Denne tilpasningsevnen innebærer at trusselaktøren sannsynligvis vil gi ut oppdaterte versjoner av skadevaren i nær fremtid, og potensielt introdusere nye funksjoner og unnvikende manøvrer for å fremme deres overvåkingsmål.