隱形士兵惡意軟件

\

網絡安全社區最近發現了一個名為 Stealth Soldier 的新發現的自定義後門，該後門已被用於北非一系列複雜且專門針對的間諜活動。

Stealth Soldier 是一種未記錄的後門惡意軟件，具有一系列監視功能，旨在從受感染的系統中收集敏感信息。它執行各種監視功能，例如從受感染設備中提取文件、在屏幕和麥克風上記錄活動、記錄擊鍵以及竊取與瀏覽相關的數據。

這一攻擊行動的一個值得注意的方面是使用模仿與利比亞外交部相關網站的命令和控制 (C&C) 服務器。通過模仿這些合法站點，攻擊者創建了一個有助於執行其惡意活動的欺騙性環境。此次 Stealth Soldier 活動的最初痕跡可以追溯到 2022 年 10 月，表明攻擊者已經積極行動了相當長的一段時間。

Stealth Soldier 惡意軟件操作員使用社會工程策略

攻擊活動開始時，潛在目標被誘騙通過社會工程策略下載惡意下載程序二進製文件。這些具有欺騙性的二進製文件用作傳送 Stealth Soldier 惡意軟件的手段，同時顯示看似無害的誘餌 PDF 文件以分散受害者的注意力。

一旦成功部署了 Stealth Soldier 惡意軟件，其定制的模塊化植入程序就會激活。據信，這種植入物被謹慎使用以避免被發現，它為惡意軟件配備了一系列監視功能。它收集目錄列表和瀏覽器憑據、記錄擊鍵、記錄設備麥克風的音頻、捕獲屏幕截圖、上傳文件並執行 PowerShell 命令。

該惡意軟件使用不同類型的命令。一些命令是從命令與控制 (C&C) 服務器下載的插件，而其他命令是嵌入在惡意軟件本身中的模塊。這種模塊化方法允許惡意軟件功能具有靈活性和適應性。它還表明操作員積極維護和更新惡意軟件，正如發現三個不同版本的 Stealth Soldier 所證明的那樣。

儘管 Stealth Soldier 的某些組件不再可用，但分析表明某些功能（例如屏幕捕獲和瀏覽器憑據盜竊）的靈感來自 GitHub 上可用的開源項目。這表明 Stealth Soldier 背後的威脅行為者從現有工具中汲取靈感，並將它們整合到他們的自定義惡意軟件中，以增強其功能和有效性。

與先前記錄的惡意軟件操作的相似之處

此外，還發現 Stealth Soldier 使用的基礎設施與之前稱為“尼羅河之眼”的網絡釣魚活動相關的基礎設施有相似之處。 2019 年，“尼羅河之眼”運動以埃及記者和人權活動家為目標。

這一發展表明負責這兩個活動的威脅行為者可能會死灰復燃。這表明該組織特別專注於針對埃及和利比亞的個人進行監視活動。

考慮到惡意軟件的模塊化特性和多個感染階段的利用，攻擊者很可能會繼續調整他們的策略和技術。這種適應性意味著威脅行為者可能會在不久的將來發布惡意軟件的更新版本，可能會引入新功能和規避策略以進一步實現其監視目標。