隐形士兵恶意软件

\

网络安全社区最近发现了一个名为 Stealth Soldier 的新发现的自定义后门，该后门已被用于北非一系列复杂且专门针对的间谍活动。

Stealth Soldier 是一种未记录的后门恶意软件，具有一系列监视功能，旨在从受感染的系统中收集敏感信息。它执行各种监视功能，例如从受感染设备中提取文件、在屏幕和麦克风上记录活动、记录击键以及窃取与浏览相关的数据。

这一攻击行动的一个值得注意的方面是使用模仿与利比亚外交部相关网站的命令和控制 (C&C) 服务器。通过模仿这些合法站点，攻击者创建了一个有助于执行其恶意活动的欺骗性环境。此次 Stealth Soldier 活动的最初痕迹可以追溯到 2022 年 10 月，表明攻击者已经积极行动了相当长的一段时间。

Stealth Soldier 恶意软件操作员使用社会工程策略

攻击活动开始时，潜在目标被诱骗通过社会工程策略下载恶意下载程序二进制文件。这些具有欺骗性的二进制文件用作传送 Stealth Soldier 恶意软件的手段，同时显示看似无害的诱饵 PDF 文件以分散受害者的注意力。

一旦成功部署了 Stealth Soldier 恶意软件，其定制的模块化植入程序就会激活。据信，这种植入物被谨慎使用以避免被发现，它为恶意软件配备了一系列监视功能。它收集目录列表和浏览器凭据、记录击键、记录设备麦克风的音频、捕获屏幕截图、上传文件和执行 PowerShell 命令。

该恶意软件使用不同类型的命令。一些命令是从命令与控制 (C&C) 服务器下载的插件，而其他命令是嵌入在恶意软件本身中的模块。这种模块化方法允许恶意软件功能具有灵活性和适应性。它还表明操作员积极维护和更新恶意软件，正如发现三个不同版本的 Stealth Soldier 所证明的那样。

尽管 Stealth Soldier 的某些组件不再可用，但分析表明某些功能（例如屏幕捕获和浏览器凭据盗窃）的灵感来自 GitHub 上可用的开源项目。这表明 Stealth Soldier 背后的威胁行为者从现有工具中汲取灵感，并将它们整合到他们的自定义恶意软件中，以增强其功能和有效性。

与先前记录的恶意软件操作的相似之处

此外，还发现 Stealth Soldier 使用的基础设施与之前称为“尼罗河之眼”的网络钓鱼活动相关的基础设施有相似之处。 2019 年，“尼罗河之眼”运动以埃及记者和人权活动家为目标。

这一发展表明负责这两个活动的威胁行为者可能会死灰复燃。这表明该组织特别专注于针对埃及和利比亚的个人进行监视活动。

考虑到恶意软件的模块化特性和多个感染阶段的利用，攻击者很可能会继续调整他们的策略和技术。这种适应性意味着威胁行为者可能会在不久的将来发布恶意软件的更新版本，可能会引入新功能和规避策略以进一步实现其监视目标。