มัลแวร์ Stealth Soldier

\

เมื่อเร็ว ๆ นี้ชุมชนความปลอดภัยทางไซเบอร์ได้ค้นพบแบ็คดอร์ที่กำหนดเองใหม่ซึ่งเรียกว่า Stealth Soldier ซึ่งถูกนำมาใช้ในชุดของแคมเปญจารกรรมที่ซับซ้อนและกำหนดเป้าหมายเฉพาะในแอฟริกาเหนือ

Stealth Soldier เป็นมัลแวร์แบ็คดอร์ที่ไม่มีเอกสารซึ่งแสดงความสามารถในการเฝ้าระวังที่หลากหลาย โดยมุ่งเป้าไปที่การรวบรวมข้อมูลที่ละเอียดอ่อนจากระบบที่ถูกบุกรุก ทำหน้าที่เฝ้าระวังต่างๆ เช่น แยกไฟล์จากอุปกรณ์ที่ติดไวรัส บันทึกกิจกรรมบนหน้าจอและไมโครโฟน บันทึกการกดแป้นพิมพ์ และขโมยข้อมูลที่เกี่ยวข้องกับการท่องเว็บ

ลักษณะเด่นอย่างหนึ่งของปฏิบัติการโจมตีนี้คือการใช้เซิร์ฟเวอร์ Command-and-Control (C&C) ที่เลียนแบบเว็บไซต์ที่เกี่ยวข้องกับกระทรวงการต่างประเทศลิเบีย ผู้โจมตีสร้างสภาพแวดล้อมที่หลอกลวงซึ่งช่วยในการดำเนินกิจกรรมที่เป็นอันตรายโดยการเลียนแบบไซต์ที่ถูกต้องตามกฎหมายเหล่านี้ ร่องรอยเริ่มต้นของแคมเปญ Stealth Soldier นี้สามารถย้อนไปถึงเดือนตุลาคม 2022 ซึ่งบ่งชี้ว่าผู้โจมตีได้ปฏิบัติการอย่างแข็งขันมาเป็นระยะเวลาหนึ่งแล้ว

ผู้ดำเนินการมัลแวร์ Stealth Soldier ใช้กลยุทธ์วิศวกรรมสังคม

แคมเปญการโจมตีเริ่มต้นด้วยเป้าหมายที่อาจถูกหลอกให้ดาวน์โหลดไบนารีตัวดาวน์โหลดที่เป็นอันตรายผ่านกลยุทธ์วิศวกรรมสังคม ไบนารีหลอกลวงเหล่านี้ใช้เป็นเครื่องมือในการส่งมัลแวร์ Stealth Soldier ในขณะเดียวกันก็แสดงไฟล์ PDF หลอกล่อที่ดูเหมือนไม่เป็นอันตรายไปพร้อม ๆ กันเพื่อเบี่ยงเบนความสนใจของเหยื่อ

เมื่อติดตั้งมัลแวร์ Stealth Soldier สำเร็จ การฝังโมดูลาร์แบบกำหนดเองของมันจะเปิดใช้งาน การปลูกฝังนี้เชื่อว่าจะใช้เท่าที่จำเป็นเพื่อหลีกเลี่ยงการตรวจจับ ทำให้มัลแวร์มีความสามารถในการเฝ้าระวังที่หลากหลาย มันรวบรวมรายชื่อไดเร็กทอรีและข้อมูลประจำตัวของเบราว์เซอร์ บันทึกการกดแป้นพิมพ์ บันทึกเสียงจากไมโครโฟนของอุปกรณ์ จับภาพหน้าจอ อัปโหลดไฟล์ และดำเนินการคำสั่ง PowerShell

มัลแวร์ใช้คำสั่งประเภทต่างๆ คำสั่งบางคำสั่งเป็นปลั๊กอินที่ดาวน์โหลดจากเซิร์ฟเวอร์ Command-and-Control (C&C) ในขณะที่คำสั่งอื่นๆ เป็นโมดูลที่ฝังอยู่ภายในตัวมัลแวร์ วิธีการแบบโมดูลาร์นี้ช่วยให้มีความยืดหยุ่นและความสามารถในการปรับตัวในการทำงานของมัลแวร์ นอกจากนี้ยังบ่งชี้ว่าผู้ปฏิบัติงานดูแลรักษาและอัปเดตมัลแวร์อย่างแข็งขัน โดยเห็นได้จากการค้นพบ Stealth Soldier สามเวอร์ชันที่แตกต่างกัน

แม้ว่าส่วนประกอบบางอย่างของ Stealth Soldier จะไม่สามารถเข้าถึงได้อีกต่อไป แต่จากการวิเคราะห์พบว่าฟังก์ชันการทำงานบางอย่าง เช่น การจับภาพหน้าจอและการขโมยข้อมูลประจำตัวของเบราว์เซอร์ ได้รับแรงบันดาลใจจากโครงการโอเพ่นซอร์สที่มีอยู่ใน GitHub สิ่งนี้ชี้ให้เห็นว่าผู้คุกคามที่อยู่เบื้องหลัง Stealth Soldier ได้รับแรงบันดาลใจจากเครื่องมือที่มีอยู่และรวมเข้ากับมัลแวร์ที่กำหนดเองเพื่อเพิ่มความสามารถและประสิทธิผล

ความคล้ายคลึงกันกับการทำงานของมัลแวร์ที่บันทึกไว้ก่อนหน้านี้

นอกจากนี้ยังพบว่าโครงสร้างพื้นฐานที่ใช้โดย Stealth Soldier มีความคล้ายคลึงกันกับโครงสร้างพื้นฐานที่เชื่อมโยงกับแคมเปญฟิชชิ่งก่อนหน้านี้ที่รู้จักกันในชื่อ Eye on the Nile แคมเปญ Eye on the Nile กำหนดเป้าหมายนักข่าวชาวอียิปต์และนักเคลื่อนไหวด้านสิทธิมนุษยชนในปี 2562

การพัฒนานี้บ่งชี้ถึงศักยภาพในการฟื้นคืนชีพของผู้คุกคามที่รับผิดชอบทั้งสองแคมเปญ ชี้ให้เห็นว่ากลุ่มนี้มุ่งเน้นเป็นพิเศษในการดำเนินกิจกรรมการเฝ้าระวังที่มีเป้าหมายเป็นบุคคลในอียิปต์และลิเบีย

เมื่อพิจารณาถึงลักษณะแบบโมดูลาร์ของมัลแวร์และการใช้ประโยชน์จากระยะการติดไวรัสหลายขั้นตอน จึงมีความเป็นไปได้สูงที่ผู้โจมตีจะยังคงปรับเปลี่ยนกลยุทธ์และเทคนิคของตนต่อไป ความสามารถในการปรับตัวนี้บอกเป็นนัยว่าผู้คุกคามมีแนวโน้มที่จะปล่อยมัลแวร์เวอร์ชันอัปเดตในอนาคตอันใกล้ ซึ่งอาจนำเสนอฟังก์ชันการทำงานใหม่และการหลบหลีกเพื่อวัตถุประสงค์ในการสอดแนมต่อไป