Шкідлива програма Stealth Soldier

\

Співтовариство кібербезпеки нещодавно виявило нещодавно ідентифікований спеціальний бекдор під назвою Stealth Soldier, який використовувався в серії складних і спеціально націлених шпигунських кампаній у Північній Африці.

Stealth Soldier — це недокументована бекдор-шкідлива програма, яка демонструє низку можливостей стеження, спрямованих на збір конфіденційної інформації зі зламаних систем. Він виконує різні функції стеження, такі як вилучення файлів із зараженого пристрою, запис дій на екрані та мікрофоні, реєстрація натискань клавіш і крадіжка даних, пов’язаних із веб-переглядом.

Одним із помітних аспектів цієї операції атаки є використання командно-контрольних (C&C) серверів, які імітують веб-сайти, пов’язані з Міністерством закордонних справ Лівії. Імітуючи ці законні сайти, зловмисники створюють оманливе середовище, яке допомагає у виконанні їхніх зловмисних дій. Перші сліди цієї кампанії Stealth Soldier можна простежити до жовтня 2022 року, що свідчить про те, що зловмисники активно діяли протягом значного періоду.

Оператори шкідливих програм The Stealth Soldier використовують тактику соціальної інженерії

Кампанія атаки починається з потенційних цілей, яких обманом змушують завантажити шкідливі двійкові файли завантажувача за допомогою тактики соціальної інженерії. Ці оманливі двійкові файли служать засобом доставки зловмисного програмного забезпечення Stealth Soldier, водночас відображаючи, здавалося б, нешкідливий PDF-файл-приманку, щоб відвернути увагу жертв.

Після успішного розгортання зловмисного програмного забезпечення Stealth Soldier його власний модульний імплантат стає активним. Цей імплантат, який, як вважається, використовується економно, щоб уникнути виявлення, надає зловмисному програмному забезпеченню ряд можливостей стеження. Він збирає списки каталогів і облікові дані браузера, реєструє натискання клавіш, записує аудіо з мікрофона пристрою, робить знімки екрана, завантажує файли та виконує команди PowerShell.

Зловмисне програмне забезпечення використовує різні типи команд. Деякі команди є плагінами, які завантажуються з сервера командування та керування (C&C), а інші є модулями, вбудованими в саму шкідливу програму. Цей модульний підхід забезпечує гнучкість і адаптивність функціональності шкідливого програмного забезпечення. Це також вказує на те, що оператори активно підтримують і оновлюють шкідливе програмне забезпечення, про що свідчить виявлення трьох різних версій Stealth Soldier.

Незважаючи на те, що деякі компоненти Stealth Soldier більше недоступні, аналіз показав, що певні функції, такі як захоплення екрана та крадіжка облікових даних браузера, були натхненні проектами з відкритим кодом, доступними на GitHub. Це свідчить про те, що автори загроз Stealth Soldier черпали натхнення з існуючих інструментів і включили їх у своє зловмисне програмне забезпечення, щоб підвищити його можливості та ефективність.

Подібності з раніше зафіксованими діями зловмисного програмного забезпечення

Крім того, було виявлено, що інфраструктура, яку використовує Stealth Soldier, схожа з інфраструктурою, пов’язаною з попередньою фішинговою кампанією, відомою як Eye on the Nile. У 2019 році кампанія Eye on the Nile була спрямована проти єгипетських журналістів і правозахисників.

Цей розвиток подій вказує на потенційне відродження загрози, відповідальної за обидві кампанії. Це свідчить про те, що група спеціально зосереджена на проведенні заходів спостереження за особами в Єгипті та Лівії.

Враховуючи модульний характер шкідливого програмного забезпечення та використання кількох етапів зараження, дуже ймовірно, що зловмисники продовжуватимуть адаптувати свою тактику та методи. Ця адаптивність означає, що загрозливий суб’єкт, швидше за все, випустить оновлені версії зловмисного програмного забезпечення в найближчому майбутньому, потенційно запроваджуючи нові функції та маневри ухилення для досягнення своїх цілей стеження.