Вредоносное ПО Stealth Soldier

\

Сообщество кибербезопасности недавно обнаружило недавно идентифицированный специальный бэкдор под названием Stealth Soldier, который использовался в серии изощренных и целенаправленных шпионских кампаний в Северной Африке.

Stealth Soldier — это недокументированная вредоносная программа-бэкдор, которая демонстрирует ряд возможностей наблюдения, направленных на сбор конфиденциальной информации из скомпрометированных систем. Он выполняет различные функции наблюдения, такие как извлечение файлов с зараженного устройства, запись действий на экране и микрофоне, регистрация нажатий клавиш и кража данных, связанных с просмотром.

Одним из примечательных аспектов этой атаки является использование серверов управления и контроля (C&C), которые имитируют веб-сайты, связанные с министерством иностранных дел Ливии. Имитируя эти законные сайты, злоумышленники создают обманчивую среду, которая помогает в выполнении их вредоносных действий. Первоначальные следы этой кампании Stealth Soldier можно проследить до октября 2022 года, что свидетельствует о том, что злоумышленники активно действовали в течение значительного периода времени.

Операторы вредоносных программ Stealth Soldier используют тактику социальной инженерии

Кампания атаки начинается с того, что потенциальные цели обманом заставляют загружать вредоносные двоичные файлы загрузчика с помощью тактики социальной инженерии. Эти вводящие в заблуждение двоичные файлы служат средством доставки вредоносного ПО Stealth Soldier, одновременно отображая, казалось бы, безобидный PDF-файл-приманку, чтобы отвлечь жертв.

После успешного развертывания вредоносного ПО Stealth Soldier его специальный модульный имплантат становится активным. Этот имплантат, который, как считается, используется экономно, чтобы избежать обнаружения, наделяет вредоносное ПО рядом возможностей наблюдения. Он собирает списки каталогов и учетные данные браузера, регистрирует нажатия клавиш, записывает звук с микрофона устройства, делает снимки экрана, загружает файлы и выполняет команды PowerShell.

Вредоносное ПО использует различные типы команд. Некоторые команды представляют собой подключаемые модули, которые загружаются с сервера управления и контроля (C&C), а другие представляют собой модули, встроенные в само вредоносное ПО. Такой модульный подход обеспечивает гибкость и адаптируемость функциональности вредоносного ПО. Это также указывает на то, что операторы активно поддерживают и обновляют вредоносное ПО, о чем свидетельствует обнаружение трех различных версий Stealth Soldier.

Хотя некоторые компоненты Stealth Soldier больше не доступны, анализ показал, что некоторые функции, такие как захват экрана и кража учетных данных браузера, были вдохновлены проектами с открытым исходным кодом, доступными на GitHub. Это говорит о том, что злоумышленники, стоящие за Stealth Soldier, черпали вдохновение из существующих инструментов и включали их в свои собственные вредоносные программы, чтобы расширить их возможности и эффективность.

Сходства с ранее зарегистрированными действиями вредоносного ПО

Кроме того, было обнаружено, что инфраструктура, используемая Stealth Soldier, имеет сходство с инфраструктурой, связанной с предыдущей фишинговой кампанией, известной как Eye on the Nile. В 2019 году кампания The Eye on the Nile была нацелена на египетских журналистов и правозащитников.

Это событие указывает на потенциальное возрождение субъекта угрозы, ответственного за обе кампании. Это предполагает, что группа специально сосредоточена на проведении слежки за отдельными лицами в Египте и Ливии.

Учитывая модульный характер вредоносного ПО и использование нескольких стадий заражения, весьма вероятно, что злоумышленники продолжат адаптировать свою тактику и методы. Эта адаптивность означает, что субъект угрозы, скорее всего, выпустит обновленные версии вредоносного ПО в ближайшем будущем, что может привести к внедрению новых функций и обходных маневров для достижения своих целей наблюдения.