Złośliwe oprogramowanie żołnierza ukrywającego się
\
Społeczność zajmująca się cyberbezpieczeństwem niedawno odkryła nowo zidentyfikowany niestandardowy backdoor o nazwie Stealth Soldier, który został wykorzystany w serii wyrafinowanych i specjalnie ukierunkowanych kampanii szpiegowskich w Afryce Północnej.
Stealth Soldier to nieudokumentowane złośliwe oprogramowanie typu backdoor, które wykazuje szereg możliwości inwigilacji, mających na celu zbieranie poufnych informacji z zaatakowanych systemów. Wykonuje różne funkcje nadzoru, takie jak wyodrębnianie plików z zainfekowanego urządzenia, nagrywanie działań na ekranie i mikrofonie, rejestrowanie naciśnięć klawiszy i kradzież danych związanych z przeglądaniem.
Jednym z godnych uwagi aspektów tej operacji ataku jest wykorzystanie serwerów Command-and-Control (C&C), które imitują strony internetowe powiązane z libijskim Ministerstwem Spraw Zagranicznych. Naśladując te legalne witryny, osoby atakujące tworzą zwodnicze środowisko, które pomaga w wykonywaniu ich złośliwych działań. Początkowe ślady tej kampanii Stealth Soldier sięgają października 2022 r., co wskazuje, że napastnicy aktywnie działają od dłuższego czasu.
Operatorzy złośliwego oprogramowania Stealth Soldier stosują taktyki socjotechniczne
Kampania ataków rozpoczyna się od nakłonienia potencjalnych celów do pobrania złośliwych plików binarnych programu do pobierania za pomocą taktyk socjotechnicznych. Te oszukańcze pliki binarne służą jako środek do dostarczania złośliwego oprogramowania Stealth Soldier, jednocześnie wyświetlając pozornie nieszkodliwy plik PDF wabika, aby odwrócić uwagę ofiar.
Po pomyślnym wdrożeniu złośliwego oprogramowania Stealth Soldier jego niestandardowy modułowy implant staje się aktywny. Implant ten, prawdopodobnie używany oszczędnie w celu uniknięcia wykrycia, wyposaża złośliwe oprogramowanie w szereg możliwości inwigilacji. Gromadzi listy katalogów i poświadczenia przeglądarki, rejestruje naciśnięcia klawiszy, nagrywa dźwięk z mikrofonu urządzenia, przechwytuje zrzuty ekranu, przesyła pliki i wykonuje polecenia PowerShell.
Złośliwe oprogramowanie wykorzystuje różne typy poleceń. Niektóre polecenia to wtyczki pobierane z serwera Command-and-Control (C&C), podczas gdy inne to moduły wbudowane w samo złośliwe oprogramowanie. To modułowe podejście pozwala na elastyczność i możliwość adaptacji funkcjonalności złośliwego oprogramowania. Wskazuje również, że operatorzy aktywnie utrzymują i aktualizują złośliwe oprogramowanie, o czym świadczy odkrycie trzech różnych wersji Stealth Soldier.
Chociaż niektóre komponenty Stealth Soldier nie są już dostępne, analiza wykazała, że niektóre funkcje, takie jak przechwytywanie ekranu i kradzież danych uwierzytelniających przeglądarki, zostały zainspirowane projektami open source dostępnymi w serwisie GitHub. Sugeruje to, że cyberprzestępcy stojący za Stealth Soldier czerpali inspirację z istniejących narzędzi i włączali je do swojego niestandardowego złośliwego oprogramowania w celu zwiększenia jego możliwości i skuteczności.
Podobieństwa z poprzednio zarejestrowanymi operacjami złośliwego oprogramowania
Ponadto odkryto, że infrastruktura wykorzystywana przez Stealth Soldier jest podobna do infrastruktury powiązanej z poprzednią kampanią phishingową znaną jako Eye on the Nile. Kampania Eye on the Nile była skierowana do egipskich dziennikarzy i obrońców praw człowieka w 2019 roku.
Rozwój ten wskazuje na potencjalne odrodzenie się cyberprzestępcy odpowiedzialnego za obie kampanie. Sugeruje to, że grupa jest szczególnie skoncentrowana na prowadzeniu działań inwigilacyjnych skierowanych przeciwko osobom w Egipcie i Libii.
Biorąc pod uwagę modułową naturę szkodliwego oprogramowania i wykorzystanie wielu etapów infekcji, jest wysoce prawdopodobne, że osoby atakujące będą nadal dostosowywać swoją taktykę i techniki. Ta zdolność adaptacji oznacza, że cyberprzestępca prawdopodobnie opublikuje zaktualizowane wersje złośliwego oprogramowania w najbliższej przyszłości, potencjalnie wprowadzając nowe funkcje i manewry omijające w celu realizacji swoich celów inwigilacyjnych.
