Stealth Soldier Malware
\
Cybersäkerhetsgemenskapen har nyligen upptäckt en nyligen identifierad anpassad bakdörr som heter Stealth Soldier, som har använts i en serie sofistikerade och specifikt riktade spionagekampanjer i Nordafrika.
The Stealth Soldier är en odokumenterad bakdörr skadlig kod som uppvisar en rad övervakningsfunktioner, som syftar till att samla in känslig information från komprometterade system. Den utför olika övervakningsfunktioner, som att extrahera filer från den infekterade enheten, spela in aktiviteter på skärmen och mikrofonen, logga tangenttryckningar och stjäla webbläsarrelaterad data.
En anmärkningsvärd aspekt av denna attackoperation är användningen av Command-and-Control-servrar (C&C) som imiterar webbplatser associerade med det libyska utrikesministeriet. Genom att efterlikna dessa legitima webbplatser skapar angriparna en vilseledande miljö som hjälper till att utföra deras skadliga aktiviteter. De första spåren av denna Stealth Soldier-kampanj kan spåras tillbaka till oktober 2022, vilket tyder på att angriparna har varit aktivt verksamma under en längre period.
The Stealth Soldier Operatörer av skadlig programvara använder social ingenjörstaktik
Attackkampanjen inleds med potentiella mål som luras att ladda ner skadliga nedladdningsbinärer genom social ingenjörsteknik. Dessa bedrägliga binärfiler fungerar som ett sätt att leverera skadlig programvara från Stealth Soldier, samtidigt som de visar en till synes ofarlig PDF-fil för att distrahera offren.
När skadlig programvara Stealth Soldier har distribuerats framgångsrikt, blir dess anpassade modulära implantat aktivt. Detta implantat, som tros användas sparsamt för att undvika upptäckt, utrustar skadlig programvara med en rad övervakningsmöjligheter. Den samlar in kataloglistor och webbläsaruppgifter, loggar tangenttryckningar, spelar in ljud från enhetens mikrofon, tar skärmdumpar, laddar upp filer och kör PowerShell-kommandon.
Skadlig programvara använder olika typer av kommandon. Vissa kommandon är plugins som laddas ner från Command-and-Control-servern (C&C), medan andra är moduler inbäddade i själva skadliga programvaran. Detta modulära tillvägagångssätt möjliggör flexibilitet och anpassningsförmåga i skadlig programvaras funktionalitet. Det indikerar också att operatörerna aktivt underhåller och uppdaterar skadlig programvara, vilket framgår av upptäckten av tre distinkta versioner av Stealth Soldier.
Även om några av komponenterna i Stealth Soldier inte längre är tillgängliga, har analys avslöjat att vissa funktioner, såsom skärmdump och webbläsarreferensstöld, inspirerades av öppen källkodsprojekt tillgängliga på GitHub. Detta tyder på att hotaktörerna bakom Stealth Soldier hämtade inspiration från befintliga verktyg och införlivade dem i deras anpassade skadliga program för att förbättra dess kapacitet och effektivitet.
Likheter med tidigare inspelade åtgärder med skadlig programvara
Dessutom har det upptäckts att infrastrukturen som används av Stealth Soldier delar likheter med infrastrukturen kopplad till en tidigare nätfiskekampanj känd som Eye on the Nile. Eye on the Nile-kampanjen riktade sig till egyptiska journalister och människorättsaktivister 2019.
Denna utveckling indikerar att den hotaktör som ansvarar för båda kampanjerna kan återuppstå. Det tyder på att gruppen är specifikt inriktad på att bedriva övervakningsaktiviteter riktade mot individer i Egypten och Libyen.
Med tanke på skadlig programvaras modulära karaktär och användningen av flera infektionsstadier är det mycket troligt att angriparna kommer att fortsätta att anpassa sin taktik och teknik. Denna anpassningsförmåga innebär att hotaktören sannolikt kommer att släppa uppdaterade versioner av skadlig programvara inom en snar framtid, vilket potentiellt kommer att introducera nya funktioner och undvikande manövrar för att främja sina övervakningsmål.
