Злонамерни софтвер Стеалтх Солдиер

\

Заједница сајбер-безбедности је недавно открила ново идентификовано прилагођено бацкдоор под називом Стеалтх Солдиер, које је коришћено у низу софистицираних и посебно циљаних шпијунских кампања у Северној Африци.

Стеалтх Солдиер је недокументовани злонамерни софтвер у позадини који показује низ могућности надзора, чији је циљ прикупљање осетљивих информација из компромитованих система. Обавља различите функције надзора, као што је издвајање датотека са зараженог уређаја, снимање активности на екрану и микрофону, евидентирање притисака на тастере и крађа података у вези са прегледањем.

Један значајан аспект ове операције напада је коришћење сервера за команду и контролу (Ц&Ц) који имитирају веб странице повезане са либијским Министарством спољних послова. Опонашањем ових легитимних сајтова, нападачи стварају обмањујуће окружење које помаже у извршавању њихових злонамерних активности. Почетни трагови ове кампање Стеалтх Солдиер-а могу се пратити до октобра 2022. године, што указује да су нападачи активно деловали већ дуже време.

Оператери злонамерног софтвера Стеалтх Солдиер користе тактику друштвеног инжењеринга

Кампања напада почиње тако што су потенцијални циљеви преварени да преузму бинарне датотеке злонамерног преузимача путем тактике друштвеног инжењеринга. Ови обмањујући бинарни фајлови служе као средство за испоруку злонамерног софтвера Стеалтх Солдиер, док истовремено приказују наизглед безопасну ПДФ датотеку за мамце да одврате пажњу жртвама.

Када се малвер Стеалтх Солдиер успешно примени, његов прилагођени модуларни имплант постаје активан. Овај имплант, за који се верује да се користи штедљиво да би се избегао откривање, опреми малвер низом могућности надзора. Сакупља листе директоријума и акредитиве претраживача, евидентира притиске на тастере, снима звук са микрофона уређаја, снима снимке екрана, отпрема датотеке и извршава ПоверСхелл команде.

Малвер користи различите врсте команди. Неке команде су додаци који се преузимају са сервера за команду и контролу (Ц&Ц), док су друге модули уграђени у сам малвер. Овај модуларни приступ омогућава флексибилност и прилагодљивост функционалности малвера. То такође указује да оператери активно одржавају и ажурирају малвер, о чему сведочи откриће три различите верзије Стеалтх Солдиера.

Иако неке од компоненти Стеалтх Солдиера више нису доступне, анализа је открила да су одређене функције, као што су снимање екрана и крађа акредитива претраживача, инспирисане пројектима отвореног кода доступним на ГитХуб-у. Ово сугерише да су актери претњи који стоје иза Стеалтх Солдиер-а црпили инспирацију из постојећих алата и уградили их у свој прилагођени малвер како би побољшали његове могућности и ефикасност.

Сличности са претходно снимљеним операцијама злонамерног софтвера

Штавише, откривено је да инфраструктура коју користи Стеалтх Солдиер дели сличности са инфраструктуром повезаном са претходном кампањом пхисхинг-а познатом као Око на Нилу. Кампања Око на Нилу била је на мети египатских новинара и активиста за људска права 2019.

Овај развој догађаја указује на потенцијално поновно појављивање актера претње одговорног за обе кампање. То сугерише да је група посебно фокусирана на спровођење активности надзора усмерених на појединце у Египту и Либији.

С обзиром на модуларну природу малвера и коришћење више фаза инфекције, велика је вероватноћа да ће нападачи наставити да прилагођавају своје тактике и технике. Ова прилагодљивост имплицира да ће актер претње вероватно објавити ажуриране верзије злонамерног софтвера у блиској будућности, потенцијално уводећи нове функционалности и маневре избегавања како би унапредили своје циљеве надзора.