Malware Soldat ascuns
\
Comunitatea de securitate cibernetică a descoperit recent o ușă din spate personalizată nou identificată, numită Stealth Soldier, care a fost utilizată într-o serie de campanii de spionaj sofisticate și specifice în Africa de Nord.
The Stealth Soldier este un malware nedocumentat care prezintă o serie de capabilități de supraveghere, care vizează colectarea de informații sensibile din sistemele compromise. Îndeplinește diverse funcții de supraveghere, cum ar fi extragerea fișierelor de pe dispozitivul infectat, înregistrarea activităților pe ecran și microfon, înregistrarea apăsărilor de taste și furtul datelor legate de navigare.
Un aspect notabil al acestei operațiuni de atac este utilizarea serverelor de comandă și control (C&C) care imită site-urile web asociate cu Ministerul Afacerilor Externe libian. Imitând aceste site-uri legitime, atacatorii creează un mediu înșelător care ajută la executarea activităților lor rău intenționate. Urmele inițiale ale acestei campanii Stealth Soldier pot fi urmărite încă din octombrie 2022, ceea ce indică faptul că atacatorii au acționat activ pentru o perioadă considerabilă.
Operatorii de programe malware Stealth Soldier folosesc tactici de inginerie socială
Campania de atac începe cu potențiale ținte fiind păcălite să descarce fișiere binare de descărcare rău intenționate prin tactici de inginerie socială. Aceste fișiere binare înșelătoare servesc ca mijloc de a furniza malware-ul Stealth Soldier, afișând simultan un fișier PDF momeală aparent inofensiv pentru a distrage atenția victimelor.
Odată ce malware-ul Stealth Soldier este implementat cu succes, implantul său modular personalizat devine activ. Acest implant, despre care se crede că este folosit cu moderație pentru a evita detectarea, echipează malware-ul cu o gamă largă de capabilități de supraveghere. Acesta adună liste de directoare și acreditări ale browserului, înregistrează apăsările de taste, înregistrează audio de la microfonul dispozitivului, captează capturi de ecran, încarcă fișiere și execută comenzi PowerShell.
Malware-ul folosește diferite tipuri de comenzi. Unele comenzi sunt pluginuri care sunt descărcate de pe serverul Command-and-Control (C&C), în timp ce altele sunt module încorporate în malware-ul însuși. Această abordare modulară permite flexibilitate și adaptabilitate în funcționalitatea malware-ului. De asemenea, indică faptul că operatorii întrețin și actualizează în mod activ malware-ul, așa cum demonstrează descoperirea a trei versiuni distincte ale Stealth Soldier.
Deși unele dintre componentele Stealth Soldier nu mai sunt accesibile, analiza a relevat că anumite funcționalități, cum ar fi captura de ecran și furtul de acreditări ale browserului, au fost inspirate de proiecte open-source disponibile pe GitHub. Acest lucru sugerează că actorii amenințărilor din spatele Stealth Soldier s-au inspirat din instrumentele existente și le-au încorporat în malware-ul personalizat pentru a-și îmbunătăți capacitățile și eficacitatea.
Asemănări cu operațiunile malware înregistrate anterior
În plus, s-a descoperit că infrastructura utilizată de Soldatul Stealth are asemănări cu infrastructura legată de o campanie anterioară de phishing cunoscută sub numele de Eye on the Nile. Campania Eye on the Nile a vizat jurnaliștii egipteni și activiștii pentru drepturile omului în 2019.
Această evoluție indică potențiala renaștere a actorului de amenințare responsabil pentru ambele campanii. Acesta sugerează că grupul se concentrează în mod special pe desfășurarea activităților de supraveghere care vizează persoane din Egipt și Libia.
Având în vedere natura modulară a malware-ului și utilizarea mai multor etape de infecție, este foarte probabil ca atacatorii să continue să-și adapteze tacticile și tehnicile. Această adaptabilitate implică faptul că actorul amenințării va lansa probabil versiuni actualizate ale malware-ului în viitorul apropiat, introducând potențial noi funcționalități și manevre evazive pentru a-și promova obiectivele de supraveghere.
