Stealth Soldier-malware

\

De cyberbeveiligingsgemeenschap heeft onlangs een nieuw geïdentificeerde aangepaste achterdeur ontdekt, de Stealth Soldier genaamd, die is gebruikt in een reeks geavanceerde en specifiek gerichte spionagecampagnes in Noord-Afrika.

De Stealth Soldier is een ongedocumenteerde backdoor-malware die een reeks bewakingsmogelijkheden vertoont, gericht op het verzamelen van gevoelige informatie van gecompromitteerde systemen. Het voert verschillende bewakingsfuncties uit, zoals het extraheren van bestanden van het geïnfecteerde apparaat, het opnemen van activiteiten op het scherm en de microfoon, het registreren van toetsaanslagen en het stelen van browsergerelateerde gegevens.

Een opvallend aspect van deze aanvalsoperatie is het gebruik van Command-and-Control (C&C)-servers die websites imiteren die verband houden met het Libische ministerie van Buitenlandse Zaken. Door deze legitieme sites na te bootsen, creëren de aanvallers een misleidende omgeving die helpt bij het uitvoeren van hun kwaadaardige activiteiten. De eerste sporen van deze Stealth Soldier-campagne zijn terug te voeren tot oktober 2022, wat aangeeft dat de aanvallers al geruime tijd actief opereerden.

De Malware-operators van Stealth Soldier gebruiken social engineering-tactieken

De aanvalscampagne begint met potentiële doelen die via social engineering-tactieken worden misleid om schadelijke downloader-binaries te downloaden. Deze misleidende binaire bestanden dienen als een middel om de Stealth Soldier-malware te leveren, terwijl ze tegelijkertijd een ogenschijnlijk ongevaarlijk PDF-bestand weergeven om de slachtoffers af te leiden.

Zodra de Stealth Soldier-malware met succes is geïmplementeerd, wordt het aangepaste modulaire implantaat actief. Dit implantaat, waarvan wordt aangenomen dat het spaarzaam wordt gebruikt om detectie te voorkomen, rust de malware uit met een reeks bewakingsmogelijkheden. Het verzamelt directorylijsten en browserreferenties, registreert toetsaanslagen, neemt audio op van de microfoon van het apparaat, legt schermafbeeldingen vast, uploadt bestanden en voert PowerShell-opdrachten uit.

De malware maakt gebruik van verschillende soorten opdrachten. Sommige commando's zijn plug-ins die worden gedownload van de Command-and-Control (C&C)-server, terwijl andere modules zijn die zijn ingebed in de malware zelf. Deze modulaire aanpak zorgt voor flexibiliteit en aanpassingsvermogen in de functionaliteit van de malware. Het geeft ook aan dat de operators de malware actief onderhouden en bijwerken, zoals blijkt uit de ontdekking van drie verschillende versies van de Stealth Soldier.

Hoewel sommige componenten van de Stealth Soldier niet langer toegankelijk zijn, heeft analyse aangetoond dat bepaalde functionaliteiten, zoals schermopname en diefstal van browserreferenties, zijn geïnspireerd door open-sourceprojecten die beschikbaar zijn op GitHub. Dit suggereert dat de bedreigingsactoren achter Stealth Soldier zich lieten inspireren door bestaande tools en deze in hun aangepaste malware integreerden om de mogelijkheden en effectiviteit ervan te verbeteren.

Overeenkomsten met eerder geregistreerde malwarebewerkingen

Bovendien is ontdekt dat de infrastructuur die door de Stealth Soldier wordt gebruikt, overeenkomsten vertoont met de infrastructuur die is gekoppeld aan een eerdere phishing-campagne die bekend staat als Eye on the Nile. De Eye on the Nile-campagne was in 2019 gericht op Egyptische journalisten en mensenrechtenactivisten.

Deze ontwikkeling wijst op de mogelijke heropleving van de bedreigingsactor die verantwoordelijk is voor beide campagnes. Het suggereert dat de groep zich specifiek richt op het uitvoeren van bewakingsactiviteiten gericht op personen in Egypte en Libië.

Gezien de modulaire aard van de malware en het gebruik van meerdere infectiestadia, is het zeer waarschijnlijk dat de aanvallers hun tactieken en technieken zullen blijven aanpassen. Dit aanpassingsvermogen houdt in dat de bedreigingsactor waarschijnlijk in de nabije toekomst bijgewerkte versies van de malware zal uitbrengen, mogelijk met nieuwe functionaliteiten en ontwijkende manoeuvres om hun bewakingsdoelstellingen te bevorderen.