Stealth Soldier Malware

\

Komunita kybernetickej bezpečnosti nedávno objavila novo identifikované vlastné zadné vrátka s názvom Stealth Soldier, ktoré bolo použité v sérii sofistikovaných a špecificky cielených špionážnych kampaní v severnej Afrike.

Stealth Soldier je nedokumentovaný malvér typu backdoor, ktorý vykazuje celý rad možností sledovania zameraných na zhromažďovanie citlivých informácií z napadnutých systémov. Vykonáva rôzne funkcie sledovania, ako je extrahovanie súborov z infikovaného zariadenia, zaznamenávanie aktivít na obrazovke a mikrofóne, zaznamenávanie stlačených klávesov a kradnutie údajov súvisiacich s prehliadaním.

Jedným z pozoruhodných aspektov tejto útočnej operácie je použitie serverov Command-and-Control (C&C), ktoré napodobňujú webové stránky spojené s líbyjským ministerstvom zahraničných vecí. Napodobňovaním týchto legitímnych stránok útočníci vytvárajú klamlivé prostredie, ktoré im pomáha pri vykonávaní ich škodlivých aktivít. Počiatočné stopy tejto kampane Stealth Soldier možno vysledovať až do októbra 2022, čo naznačuje, že útočníci aktívne operovali značnú dobu.

Operátori malvéru Stealth Soldier používajú taktiku sociálneho inžinierstva

Útočná kampaň sa začína tým, že potenciálne ciele sú oklamané, aby stiahli škodlivé binárne súbory na stiahnutie prostredníctvom taktiky sociálneho inžinierstva. Tieto klamné binárne súbory slúžia ako prostriedok na doručenie škodlivého softvéru Stealth Soldier a súčasne zobrazujú zdanlivo neškodný súbor PDF s návnadou, aby odviedli pozornosť obetí.

Po úspešnom nasadení malvéru Stealth Soldier sa aktivuje jeho vlastný modulárny implantát. Tento implantát, o ktorom sa predpokladá, že sa používa s mierou, aby sa zabránilo odhaleniu, vybavuje malvér celým radom možností sledovania. Zhromažďuje zoznamy adresárov a poverenia prehliadača, zaznamenáva stlačenia klávesov, zaznamenáva zvuk z mikrofónu zariadenia, zachytáva snímky obrazovky, nahráva súbory a vykonáva príkazy PowerShell.

Malvér využíva rôzne typy príkazov. Niektoré príkazy sú doplnky, ktoré sa sťahujú zo servera Command-and-Control (C&C), zatiaľ čo iné sú moduly vložené do samotného malvéru. Tento modulárny prístup umožňuje flexibilitu a prispôsobivosť funkčnosti malvéru. To tiež naznačuje, že operátori aktívne udržiavajú a aktualizujú malvér, čoho dôkazom je objavenie troch odlišných verzií Stealth Soldiera.

Hoci niektoré komponenty Stealth Soldier už nie sú prístupné, analýza odhalila, že určité funkcie, ako napríklad snímanie obrazovky a krádež poverení prehliadača, boli inšpirované open-source projektmi dostupnými na GitHub. To naznačuje, že aktéri hrozieb stojaci za Stealth Soldier čerpali inšpiráciu z existujúcich nástrojov a začlenili ich do vlastného malvéru, aby zvýšili jeho schopnosti a efektivitu.

Podobnosti s predtým zaznamenanými operáciami škodlivého softvéru

Okrem toho sa zistilo, že infraštruktúra, ktorú využíva Stealth Soldier, má podobnosť s infraštruktúrou spojenou s predchádzajúcou phishingovou kampaňou známou ako Eye on the Nile. Kampaň Eye on the Nile sa v roku 2019 zamerala na egyptských novinárov a aktivistov za ľudské práva.

Tento vývoj naznačuje potenciálne oživenie aktéra hrozby zodpovedného za obe kampane. Naznačuje to, že skupina sa špecificky zameriava na vykonávanie sledovacích činností zameraných na jednotlivcov v Egypte a Líbyi.

Vzhľadom na modulárny charakter malvéru a využitie viacerých štádií infekcie je vysoko pravdepodobné, že útočníci budú naďalej prispôsobovať svoje taktiky a techniky. Táto prispôsobivosť znamená, že aktér hrozby pravdepodobne v blízkej budúcnosti uvoľní aktualizované verzie malvéru, pričom potenciálne zavedie nové funkcie a úhybné manévre na podporu svojich cieľov sledovania.