Phần mềm độc hại Stealth Soldier
\
Cộng đồng an ninh mạng gần đây đã phát hiện ra một cửa hậu tùy chỉnh mới được xác định có tên là Stealth Soldier, được sử dụng trong một loạt các chiến dịch gián điệp tinh vi và được nhắm mục tiêu cụ thể ở Bắc Phi.
Stealth Soldier là một phần mềm độc hại cửa hậu không có giấy tờ thể hiện một loạt khả năng giám sát, nhằm mục đích thu thập thông tin nhạy cảm từ các hệ thống bị xâm nhập. Nó thực hiện nhiều chức năng giám sát khác nhau, chẳng hạn như trích xuất các tệp từ thiết bị bị nhiễm, ghi lại các hoạt động trên màn hình và micrô, ghi lại các lần gõ phím và đánh cắp dữ liệu liên quan đến trình duyệt.
Một khía cạnh đáng chú ý của hoạt động tấn công này là việc sử dụng các máy chủ Command-and-Control (C&C) bắt chước các trang web liên kết với Bộ Ngoại giao Libya. Bằng cách bắt chước các trang web hợp pháp này, những kẻ tấn công tạo ra một môi trường lừa đảo hỗ trợ việc thực hiện các hoạt động độc hại của chúng. Dấu vết ban đầu của chiến dịch Người lính tàng hình này có thể bắt nguồn từ tháng 10 năm 2022, cho thấy những kẻ tấn công đã hoạt động tích cực trong một khoảng thời gian đáng kể.
Những kẻ điều hành phần mềm độc hại Stealth Soldier sử dụng các chiến thuật kỹ thuật xã hội
Chiến dịch tấn công bắt đầu với các mục tiêu tiềm năng bị lừa tải xuống các tệp nhị phân của trình tải xuống độc hại thông qua các chiến thuật kỹ thuật xã hội. Các tệp nhị phân lừa đảo này đóng vai trò là phương tiện để phân phối phần mềm độc hại Stealth Soldier, đồng thời hiển thị tệp PDF mồi nhử dường như vô hại để đánh lạc hướng nạn nhân.
Sau khi phần mềm độc hại Stealth Soldier được triển khai thành công, bộ cấy ghép mô-đun tùy chỉnh của nó sẽ hoạt động. Bộ cấy này, được cho là ít được sử dụng để tránh bị phát hiện, trang bị cho phần mềm độc hại một loạt khả năng giám sát. Nó thu thập danh sách thư mục và thông tin đăng nhập của trình duyệt, ghi lại các lần gõ phím, ghi lại âm thanh từ micrô của thiết bị, chụp ảnh màn hình, tải tệp lên và thực thi các lệnh PowerShell.
Phần mềm độc hại sử dụng các loại lệnh khác nhau. Một số lệnh là phần bổ trợ được tải xuống từ máy chủ Command-and-Control (C&C), trong khi những lệnh khác là các mô-đun được nhúng trong chính phần mềm độc hại. Cách tiếp cận mô-đun này cho phép tính linh hoạt và khả năng thích ứng trong chức năng của phần mềm độc hại. Nó cũng chỉ ra rằng các nhà khai thác tích cực duy trì và cập nhật phần mềm độc hại, bằng chứng là việc phát hiện ra ba phiên bản riêng biệt của Stealth Soldier.
Mặc dù một số thành phần của Stealth Soldier không còn truy cập được nữa, phân tích đã tiết lộ rằng một số chức năng nhất định, chẳng hạn như chụp màn hình và đánh cắp thông tin xác thực trình duyệt, được lấy cảm hứng từ các dự án mã nguồn mở có sẵn trên GitHub. Điều này cho thấy rằng những kẻ đe dọa đằng sau Stealth Soldier đã lấy cảm hứng từ các công cụ hiện có và kết hợp chúng vào phần mềm độc hại tùy chỉnh của chúng để nâng cao khả năng và hiệu quả của nó.
Điểm tương đồng với các hoạt động của phần mềm độc hại được ghi lại trước đó
Hơn nữa, người ta đã phát hiện ra rằng cơ sở hạ tầng được Stealth Soldier sử dụng có những điểm tương đồng với cơ sở hạ tầng được liên kết với một chiến dịch lừa đảo trước đó có tên là Eye on the Nile. Chiến dịch Eye on the Nile nhắm vào các nhà báo Ai Cập và các nhà hoạt động nhân quyền vào năm 2019.
Sự phát triển này cho thấy khả năng hồi sinh của tác nhân đe dọa chịu trách nhiệm cho cả hai chiến dịch. Nó gợi ý rằng nhóm đặc biệt tập trung vào việc tiến hành các hoạt động giám sát nhắm vào các cá nhân ở Ai Cập và Libya.
Xem xét bản chất mô-đun của phần mềm độc hại và việc sử dụng nhiều giai đoạn lây nhiễm, rất có khả năng những kẻ tấn công sẽ tiếp tục điều chỉnh các chiến thuật và kỹ thuật của chúng. Khả năng thích ứng này ngụ ý rằng tác nhân đe dọa có thể sẽ phát hành các phiên bản cập nhật của phần mềm độc hại trong tương lai gần, có khả năng giới thiệu các chức năng mới và các thủ đoạn lẩn tránh để tiếp tục các mục tiêu giám sát của chúng.
