Zlonamerna programska oprema Stealth Soldier

\

Skupnost za kibernetsko varnost je pred kratkim odkrila na novo identificirana stranska vrata po meri, imenovana Stealth Soldier, ki je bila uporabljena v vrsti sofisticiranih in posebej ciljno usmerjenih vohunskih kampanj v Severni Afriki.

Stealth Soldier je nedokumentirana zlonamerna programska oprema za zakulisna vrata, ki izkazuje vrsto nadzornih zmogljivosti, namenjenih zbiranju občutljivih informacij iz ogroženih sistemov. Izvaja različne funkcije nadzora, kot je ekstrahiranje datotek iz okužene naprave, snemanje dejavnosti na zaslonu in mikrofonu, beleženje pritiskov tipk in kraja podatkov, povezanih z brskanjem.

Eden pomembnih vidikov te operacije napada je uporaba strežnikov za poveljevanje in nadzor (C&C), ki posnemajo spletna mesta, povezana z libijskim ministrstvom za zunanje zadeve. S posnemanjem teh legitimnih spletnih mest napadalci ustvarijo zavajajoče okolje, ki pomaga pri izvajanju njihovih zlonamernih dejavnosti. Začetne sledi te kampanje Stealth Soldier segajo v oktober 2022, kar kaže na to, da so napadalci aktivno delovali že precej časa.

Operaterji zlonamerne programske opreme Stealth Soldier uporabljajo taktike socialnega inženiringa

Napadna kampanja se začne s potencialnimi tarčami, ki jih s taktikami socialnega inženiringa prevarajo v prenos zlonamernih binarnih datotek za prenos. Te goljufive binarne datoteke služijo kot sredstvo za dostavo zlonamerne programske opreme Stealth Soldier, hkrati pa prikazujejo na videz neškodljivo vabno datoteko PDF, da odvrnejo pozornost žrtev.

Ko je zlonamerna programska oprema Stealth Soldier uspešno uvedena, postane njen modularni vsadek po meri aktiven. Ta vsadek, za katerega se domneva, da se uporablja zmerno, da bi se izognili odkrivanju, opremi zlonamerno programsko opremo z vrsto nadzornih zmogljivosti. Zbira sezname imenikov in poverilnice brskalnika, beleži pritiske tipk, snema zvok iz mikrofona naprave, zajema posnetke zaslona, nalaga datoteke in izvaja ukaze PowerShell.

Zlonamerna programska oprema uporablja različne vrste ukazov. Nekateri ukazi so vtičniki, ki se prenesejo s strežnika za ukaze in nadzor (C&C), medtem ko so drugi moduli, vdelani v samo zlonamerno programsko opremo. Ta modularni pristop omogoča fleksibilnost in prilagodljivost funkcionalnosti zlonamerne programske opreme. Prav tako kaže, da operaterji aktivno vzdržujejo in posodabljajo zlonamerno programsko opremo, kar dokazuje odkritje treh različnih različic Stealth Soldierja.

Čeprav nekatere komponente Stealth Soldierja niso več dostopne, je analiza pokazala, da so nekatere funkcije, kot sta zajem zaslona in kraja poverilnic brskalnika, navdihnile odprtokodne projekte, ki so na voljo na GitHubu. To nakazuje, da so akterji groženj za Stealth Soldier črpali navdih iz obstoječih orodij in jih vključili v svojo prilagojeno zlonamerno programsko opremo, da bi izboljšali njene zmogljivosti in učinkovitost.

Podobnosti s predhodno zabeleženimi operacijami zlonamerne programske opreme

Poleg tega je bilo ugotovljeno, da je infrastruktura, ki jo uporablja Stealth Soldier, podobna infrastrukturi, povezani s prejšnjo kampanjo lažnega predstavljanja, znano kot Eye on the Nile. Kampanja Eye on the Nile je bila leta 2019 namenjena egiptovskim novinarjem in borcem za človekove pravice.

Ta razvoj kaže na potencialno oživitev akterja grožnje, ki je odgovoren za obe kampanji. Nakazuje, da je skupina posebej osredotočena na izvajanje dejavnosti nadzora, usmerjenih proti posameznikom v Egiptu in Libiji.

Glede na modularno naravo zlonamerne programske opreme in uporabo več stopenj okužbe je zelo verjetno, da bodo napadalci še naprej prilagajali svoje taktike in tehnike. Ta prilagodljivost pomeni, da bo povzročitelj grožnje v bližnji prihodnosti verjetno izdal posodobljene različice zlonamerne programske opreme, ki bi lahko uvedla nove funkcionalnosti in manevre izogibanja za doseganje ciljev nadzora.