Deadglyph Backdoor
Анализаторите на киберсигурността наскоро разкриха усъвършенствана задна врата, известна като „Deadglyph“, която не е била документирана преди това. Този усъвършенстван злонамерен софтуер е използван от заплаха, наречена „Stealth Falcon“, като част от тяхната кампания за кибершпионаж.
Това, което отличава Deadglyph, е неговата нетрадиционна архитектура, състояща се от два взаимодействащи компонента. Единият е собствен x64 двоичен файл, докато другият е .NET сборка. Това отклонение от нормата е забележително, тъй като повечето зловреден софтуер обикновено разчита на един език за програмиране за своите компоненти. Възприемането на този двуезичен подход предполага възможността за отделни усилия за разработка на тези два компонента, като се възползват от уникалните възможности на всеки език за програмиране.
Освен това се подозира, че умишленото използване на различни езици за програмиране служи като стратегическа тактика за възпрепятстване на усилията за анализ. Това прави значително по-голямо предизвикателство за изследователите по сигурността да навигират и отстраняват грешки в зловреден софтуер, включително още един слой на сложност за неговото откриване и смекчаване.
Съдържание
Deadglyph Backdoor показва необичайни характеристики
Deadglyph представлява най-новото допълнение към арсенала на Stealth Falcon, използван в неразкрита правителствена организация в Близкия изток. Разграничавайки го от конвенционалните задни врати, този заплашителен инструмент получава команди от сървър, контролиран от заплахата. Тези команди пристигат под формата на допълнителни модули, предоставящи на Deadglyph способността да инициира нови процеси, да осъществява достъп до файлове и да събира данни от компрометирани системи.
Точният метод за доставяне на импланти остава загадка. Първоначалният тригер за неговото изпълнение обаче е програма за зареждане на shellcode, която извлича и зарежда shellcode от системния регистър на Windows. Това от своя страна инициира изпълнението на родния x64 компонент на Deadglyph, известен като „Executor“.
Инфекцията с Deadglyph може да има катастрофални последици за жертвите
Веднъж активиран, Executor продължава да зарежда .NET компонент, наречен "Orchestrator". Оркестраторът установява комуникация със сървъра за командване и управление (C2) в очакване на допълнителни указания. Този злонамерен софтуер също използва серия от тактики за избягване, за да остане под радара, дори притежава способността да се самодеинсталира. Командите, получени от сървъра, се подреждат на опашка за изпълнение, като попадат в три отделни категории: задачи за оркестратор, задачи за изпълнител и задачи за качване.
Задачите на изпълнителя предоставят контрол върху управлението на задната врата и изпълнението на допълнителни модули. Задачите на Orchestrator, от друга страна, управляват конфигурацията на модулите Network и Timer и могат да отменят чакащи задачи.
Идентифицирани са няколко задачи на Executor, включително създаване на процеси, достъп до файлове и събиране на системни метаданни. Модулът Timer периодично се свързва със сървъра C2 във връзка с модула Network, улеснявайки C2 комуникацията чрез HTTPS POST заявки. Задачите за качване, както подсказва името им, позволяват на задната врата да предава резултатите от командите и всички открити грешки.
Deadglyph може да се похвали с набор от механизми против откриване, включително непрекъснат мониторинг на системните процеси и внедряване на рандомизирани мрежови модели. Освен това, той притежава способността да се деинсталира самостоятелно в определени сценарии, за да намали вероятността от откриване.
Групата за киберпрестъпност Stealth Falcon работи от близо десетилетие
Stealth Falcon, известен също като FruityArmor, първоначално привлече вниманието на обществеността през 2016 г., когато изследователите разкриха участието му в целеви атаки на шпионски софтуер в Близкия изток. Тези атаки бяха насочени към журналисти, активисти и дисиденти в Обединените арабски емирства (ОАЕ). Актьорите на заплахата използваха тактики за фишинг, примамвайки жертвите с измамни връзки, вградени в имейли, които водеха до натоварени с макроси документи. Тези документи послужиха като механизми за доставка на персонализиран имплант, способен да изпълнява произволни команди.
Последващо разследване през 2019 г. разкри тайна операция, наречена Project Raven, която включва група бивши професионалисти от американското разузнаване, вербувани от фирма за киберсигурност, наречена DarkMatter. Тяхната мисия беше да извършват наблюдение на лица, критични към арабската монархия. Забележително е, че Stealth Falcon и Project Raven изглеждат едно и също, както се вижда от споделените им тактики и цели.
С течение на времето тази група беше свързана с експлоатацията на уязвимости от нулевия ден в Windows, включително CVE-2018-8611 и CVE-2019-0797. Изследователите в областта на информационната сигурност отбелязаха, че между 2016 и 2019 г. тази шпионска група е използвала по-широко уязвимостите на нулевия ден от всеки друг субект.
Приблизително през същия период противникът е наблюдаван да използва задна врата, известна като Win32/StealthFalcon. Тази заплаха използва Windows Background Intelligent Transfer Service (BITS) за командно-контролни (C2) комуникации, предоставяйки на атакуващите пълен контрол върху компрометирани крайни точки.
