Malware vjedhurazi Soldier

\

Komuniteti i sigurisë kibernetike ka zbuluar kohët e fundit një derë të pasme me porosi të sapo identifikuar të quajtur Ushtari i Vjedhur, i cili është përdorur në një seri fushatash spiunazhi të sofistikuara dhe të shënjestruara në mënyrë specifike në Afrikën e Veriut.

The Stealth Soldier është një malware i padokumentuar me dyer të pasme që shfaq një sërë aftësish mbikëqyrjeje, që synojnë mbledhjen e informacionit të ndjeshëm nga sistemet e komprometuara. Ai kryen funksione të ndryshme mbikqyrjeje, si nxjerrja e skedarëve nga pajisja e infektuar, regjistrimi i aktiviteteve në ekran dhe mikrofon, regjistrimi i shtypjeve të tasteve dhe vjedhja e të dhënave të lidhura me shfletimin.

Një aspekt i dukshëm i këtij operacioni sulmi është përdorimi i serverëve Command-and-Control (C&C) që imitojnë faqet e internetit të lidhura me Ministrinë e Punëve të Jashtme të Libisë. Duke imituar këto faqe legjitime, sulmuesit krijojnë një mjedis mashtrues që ndihmon në ekzekutimin e aktiviteteve të tyre keqdashëse. Gjurmët fillestare të kësaj fushate të Ushtarit të Vjedhur mund të gjurmohen në tetor 2022, duke treguar se sulmuesit kanë vepruar në mënyrë aktive për një periudhë të konsiderueshme.

Operatorët e malware të Ushtarit Stealth përdorin taktika të inxhinierisë sociale

Fushata e sulmit fillon me objektiva të mundshëm që mashtrohen për të shkarkuar binare të shkarkimit me qëllim të keq përmes taktikave të inxhinierisë sociale. Këto binare mashtruese shërbejnë si një mjet për të shpërndarë malware-in Stealth Soldier, ndërkohë që shfaqin në të njëjtën kohë një skedar PDF në dukje të padëmshëm për të shpërqendruar viktimat.

Pasi malware-i Stealth Soldier të vendoset me sukses, implanti i tij modular i personalizuar bëhet aktiv. Ky implant, që besohet se përdoret me masë për të shmangur zbulimin, pajis malware me një sërë aftësish mbikëqyrjeje. Ai mbledh listat e direktorive dhe kredencialet e shfletuesit, regjistron shtypjet e tasteve, regjistron audio nga mikrofoni i pajisjes, kap pamjet e ekranit, ngarkon skedarë dhe ekzekuton komandat PowerShell.

Malware përdor lloje të ndryshme komandash. Disa komanda janë shtojca që shkarkohen nga serveri Command-and-Control (C&C), ndërsa të tjerat janë module të ngulitura brenda vetë malware. Kjo qasje modulare lejon fleksibilitet dhe përshtatshmëri në funksionalitetin e malware. Ai gjithashtu tregon se operatorët mirëmbajnë dhe përditësojnë në mënyrë aktive malware, siç dëshmohet nga zbulimi i tre versioneve të dallueshme të "Stealth Soldier".

Edhe pse disa nga komponentët e "Stealth Soldier" nuk janë më të aksesueshëm, analiza ka zbuluar se disa funksione, të tilla si kapja e ekranit dhe vjedhja e kredencialeve të shfletuesit, janë frymëzuar nga projektet me burim të hapur të disponueshëm në GitHub. Kjo sugjeron që aktorët e kërcënimit pas "Stealth Soldier" tërhoqën frymëzim nga mjetet ekzistuese dhe i inkorporuan ato në malware të tyre të personalizuar për të rritur aftësitë dhe efektivitetin e tij.

Ngjashmëritë me operacionet e malware të regjistruara më parë

Për më tepër, është zbuluar se infrastruktura e përdorur nga "Stealth Soldier" ndan ngjashmëri me infrastrukturën e lidhur me një fushatë të mëparshme phishing të njohur si Eye on the Nil. Fushata Eye on the Nile synoi gazetarët egjiptianë dhe aktivistët e të drejtave të njeriut në vitin 2019.

Ky zhvillim tregon ringjalljen e mundshme të aktorit të kërcënimit përgjegjës për të dyja fushatat. Ai sugjeron se grupi është i fokusuar në mënyrë specifike në kryerjen e aktiviteteve të vëzhgimit që synojnë individë në Egjipt dhe Libi.

Duke marrë parasysh natyrën modulare të malware dhe përdorimin e fazave të shumta të infeksionit, ka shumë të ngjarë që sulmuesit të vazhdojnë të përshtatin taktikat dhe teknikat e tyre. Kjo përshtatshmëri nënkupton që aktori i kërcënimit ka të ngjarë të lëshojë versione të përditësuara të malware në të ardhmen e afërt, duke prezantuar potencialisht funksionalitete të reja dhe manovra evazive për të çuar përpara objektivat e tyre të mbikëqyrjes.