ديدجليف مستتر

اكتشف محللو الأمن السيبراني مؤخرًا بابًا خلفيًا متقدمًا يُعرف باسم "Deadglyph"، والذي لم يتم توثيقه مسبقًا. تم استخدام هذه البرامج الضارة المتطورة من قبل جهة تهديد تدعى "Stealth Falcon" كجزء من حملة التجسس السيبراني الخاصة بهم.

ما يميز Deadglyph هو هندسته المعمارية غير التقليدية، التي تتكون من عنصرين متعاونين. أحدهما عبارة عن ثنائي أصلي x64، بينما الآخر عبارة عن تجميع .NET. يعد هذا الخروج عن القاعدة جديرًا بالملاحظة لأن معظم البرامج الضارة تعتمد عادةً على لغة برمجة واحدة لمكوناتها. ويشير اعتماد هذا النهج ثنائي اللغة إلى إمكانية بذل جهود تطوير منفصلة لهذين المكونين، مع الاستفادة من القدرات الفريدة لكل لغة برمجة.

علاوة على ذلك، يشتبه في أن الاستخدام المتعمد للغات البرمجة المختلفة هو بمثابة تكتيك استراتيجي لعرقلة جهود التحليل. وهذا يجعل الأمر أكثر صعوبة بالنسبة للباحثين في مجال الأمن للتنقل في البرامج الضارة وتصحيح أخطائها، بما في ذلك طبقة أخرى من التعقيد لاكتشافها والتخفيف من آثارها.

يعرض Deadglyph Backdoor خصائص غير عادية

يمثل Deadglyph أحدث إضافة إلى ترسانة Stealth Falcon، المستخدمة في كيان حكومي لم يكشف عنه في الشرق الأوسط. وبتمييزها عن الأبواب الخلفية التقليدية، تتلقى أداة التهديد هذه أوامر من خادم يتحكم فيه ممثل التهديد. تصل هذه الأوامر في شكل وحدات تكميلية، مما يمنح Deadglyph القدرة على بدء عمليات جديدة، والوصول إلى الملفات، وجمع البيانات من الأنظمة المخترقة.

تظل الطريقة الدقيقة لتسليم الزرع لغزا. ومع ذلك، فإن المشغل الأولي لتنفيذه هو أداة تحميل كود القشرة التي تسترد كود القشرة وتحميله من سجل Windows. يؤدي هذا بدوره إلى بدء تنفيذ مكون Deadglyph الأصلي x64، والمعروف باسم "Executor".

يمكن أن يكون لعدوى Deadglyph عواقب وخيمة على الضحايا

يقوم المنفذ، بمجرد تنشيطه، بتحميل مكون .NET يسمى "Orchestrator". يقوم المنسق بإنشاء اتصال مع خادم القيادة والتحكم (C2)، في انتظار المزيد من التوجيهات. تستخدم هذه البرامج الضارة أيضًا سلسلة من أساليب المراوغة للبقاء بعيدًا عن الرادار، حتى أنها تمتلك القدرة على إلغاء التثبيت ذاتيًا. يتم وضع الأوامر المستلمة من الخادم في قائمة الانتظار للتنفيذ، وتنقسم إلى ثلاث فئات متميزة: مهام المنسق، ومهام المنفذ، ومهام التحميل.

تمنح مهام المنفذ السيطرة على إدارة الباب الخلفي وتنفيذ وحدات إضافية. من ناحية أخرى، تقوم مهام المنسق بإدارة تكوين وحدات الشبكة والمؤقت ويمكنها إلغاء المهام المعلقة.

تم تحديد العديد من مهام المنفذ، بما في ذلك إنشاء العمليات والوصول إلى الملفات وجمع بيانات تعريف النظام. تتصل وحدة Timer بشكل دوري بخادم C2 بالتزامن مع وحدة الشبكة، مما يسهل اتصال C2 عبر طلبات HTTPS POST. تحميل المهام، كما يوحي اسمها، تمكن الباب الخلفي من إرسال نتائج الأوامر وأي أخطاء تمت مواجهتها.

يتميز Deadglyph بمجموعة من آليات مكافحة الاكتشاف، بما في ذلك المراقبة المستمرة لعمليات النظام وتنفيذ أنماط الشبكة العشوائية. علاوة على ذلك، فهو يمتلك القدرة على إلغاء التثبيت ذاتيًا في سيناريوهات معينة لتقليل احتمالية اكتشافه.

تعمل مجموعة Stealth Falcon Cybercrime Group منذ ما يقرب من عقد من الزمن

لفت انتباه الجمهور Stealth Falcon، المعروف أيضًا باسم FruityArmor، في البداية في عام 2016 عندما كشف الباحثون عن تورطه في هجمات برامج التجسس المستهدفة داخل الشرق الأوسط. واستهدفت هذه الهجمات الصحفيين والناشطين والمعارضين في دولة الإمارات العربية المتحدة. استخدمت الجهات الفاعلة في التهديد تكتيكات التصيد الاحتيالي، لإغراء الضحايا بروابط خادعة مضمنة في رسائل البريد الإلكتروني تؤدي إلى مستندات محملة بالماكرو. كانت هذه المستندات بمثابة آليات تسليم لزرع مخصص قادر على تنفيذ أوامر عشوائية.

وكشف تحقيق لاحق في عام 2019 عن عملية سرية تسمى Project Raven، والتي ضمت مجموعة من المتخصصين السابقين في المخابرات الأمريكية الذين تم تجنيدهم من قبل شركة للأمن السيبراني تسمى DarkMatter. وكانت مهمتهم هي إجراء مراقبة على الأفراد الذين ينتقدون النظام الملكي العربي. ومن اللافت للنظر أن Stealth Falcon وProject Raven يبدوان متماثلين، كما يتضح من تكتيكاتهما وأهدافهما المشتركة.

ومع مرور الوقت، تم ربط هذه المجموعة باستغلال ثغرات يوم الصفر في نظام التشغيل Windows، بما في ذلك CVE-2018-8611 وCVE-2019-0797. لاحظ باحثو أمن المعلومات أنه بين عامي 2016 و2019، استخدمت مجموعة التجسس هذه ثغرات يوم الصفر على نطاق أوسع من أي كيان آخر.

وفي نفس الفترة تقريبًا، تمت ملاحظة العدو وهو يستخدم بابًا خلفيًا يُعرف باسم Win32/StealthFalcon. استفاد هذا التهديد من خدمة النقل الذكي في الخلفية لنظام التشغيل Windows (BITS) لاتصالات الأوامر والتحكم (C2)، مما يمنح المهاجمين التحكم الكامل في نقاط النهاية المعرضة للخطر.