Stealth Soldier Malware

\

Natuklasan kamakailan ng komunidad ng cybersecurity ang isang bagong natukoy na custom na backdoor na tinatawag na Stealth Soldier, na ginamit sa isang serye ng mga sopistikado at partikular na naka-target na mga kampanyang espiya sa North Africa.

Ang Stealth Soldier ay isang undocumented backdoor malware na nagpapakita ng hanay ng mga kakayahan sa pagsubaybay, na naglalayong mangalap ng sensitibong impormasyon mula sa mga nakompromisong system. Nagsasagawa ito ng iba't ibang mga function ng pagsubaybay, tulad ng pagkuha ng mga file mula sa nahawaang device, pagre-record ng mga aktibidad sa screen at mikropono, pag-log keystroke, at pagnanakaw ng data na nauugnay sa pagba-browse.

Ang isang kapansin-pansing aspeto ng operasyong pag-atake na ito ay ang paggamit ng Command-and-Control (C&C) server na ginagaya ang mga website na nauugnay sa Libyan Ministry of Foreign Affairs. Sa pamamagitan ng paggaya sa mga lehitimong site na ito, ang mga umaatake ay lumikha ng isang mapanlinlang na kapaligiran na tumutulong sa pagpapatupad ng kanilang mga malisyosong aktibidad. Ang mga unang bakas ng Stealth Soldier campaign na ito ay maaaring masubaybayan noong Oktubre 2022, na nagpapahiwatig na ang mga umaatake ay aktibong kumikilos sa loob ng mahabang panahon.

Gumagamit ang Mga Operator ng Malware ng Stealth Soldier ng Mga Social Engineering Tactics

Nagsisimula ang kampanya ng pag-atake na may mga potensyal na target na dinadaya sa pag-download ng mga nakakahamak na binary ng downloader sa pamamagitan ng mga taktika ng social engineering. Ang mga mapanlinlang na binary na ito ay nagsisilbing paraan upang maihatid ang Stealth Soldier malware, habang sabay-sabay na nagpapakita ng isang tila hindi nakakapinsalang decoy na PDF file upang makagambala sa mga biktima.

Kapag matagumpay na na-deploy ang Stealth Soldier malware, magiging aktibo ang custom modular implant nito. Ang implant na ito, na pinaniniwalaang matipid na ginagamit upang maiwasan ang pagtuklas, ay nagbibigay sa malware ng hanay ng mga kakayahan sa pagsubaybay. Kinokolekta nito ang mga listahan ng direktoryo at mga kredensyal ng browser, nag-log ng mga keystroke, nagre-record ng audio mula sa mikropono ng device, kumukuha ng mga screenshot, nag-a-upload ng mga file at nagpapatupad ng mga utos ng PowerShell.

Gumagamit ang malware ng iba't ibang uri ng mga utos. Ang ilang mga command ay mga plugin na dina-download mula sa Command-and-Control (C&C) server, habang ang iba ay mga module na naka-embed sa loob mismo ng malware. Ang modular na diskarte na ito ay nagbibigay-daan para sa flexibility at adaptability sa functionality ng malware. Isinasaad din nito na ang mga operator ay aktibong nagpapanatili at nag-a-update ng malware, bilang ebidensya ng pagtuklas ng tatlong natatanging bersyon ng Stealth Soldier.

Bagama't hindi na naa-access ang ilan sa mga bahagi ng Stealth Soldier, ipinakita ng pagsusuri na ang ilang partikular na pagpapagana, gaya ng screen capture at pagnanakaw ng kredensyal ng browser, ay inspirasyon ng mga open-source na proyekto na available sa GitHub. Iminumungkahi nito na ang mga banta ng aktor sa likod ng Stealth Soldier ay nakakuha ng inspirasyon mula sa mga kasalukuyang tool at isinama ang mga ito sa kanilang custom na malware upang mapahusay ang mga kakayahan at pagiging epektibo nito.

Mga Pagkakatulad sa Nakaraang Naitala na Mga Operasyon ng Malware

Higit pa rito, natuklasan na ang imprastraktura na ginagamit ng Stealth Soldier ay may pagkakatulad sa imprastraktura na naka-link sa isang nakaraang kampanya sa phishing na kilala bilang Eye on the Nile. Ang kampanyang Eye on the Nile ay naka-target sa mga mamamahayag ng Egypt at mga aktibistang karapatang pantao noong 2019.

Ang pag-unlad na ito ay nagpapahiwatig ng potensyal na muling pagkabuhay ng aktor ng pagbabanta na responsable para sa parehong mga kampanya. Iminumungkahi nito na ang grupo ay partikular na nakatuon sa pagsasagawa ng mga aktibidad sa pagsubaybay na nagta-target sa mga indibidwal sa Egypt at Libya.

Isinasaalang-alang ang modular na katangian ng malware at ang paggamit ng maraming yugto ng impeksyon, malaki ang posibilidad na patuloy na iangkop ng mga umaatake ang kanilang mga taktika at diskarte. Ang kakayahang umangkop na ito ay nagpapahiwatig na ang aktor ng pagbabanta ay malamang na maglalabas ng mga na-update na bersyon ng malware sa malapit na hinaharap, na posibleng magpakilala ng mga bagong pag-andar at umiiwas na mga maniobra upang isulong ang kanilang mga layunin sa pagsubaybay.