Porta del darrere de Deadglyph
Els analistes de ciberseguretat van descobrir recentment una porta posterior avançada coneguda com "Deadglyph", que no s'havia documentat prèviament. Aquest sofisticat programari maliciós va ser utilitzat per un actor d'amenaces anomenat "Stealth Falcon" com a part de la seva campanya d'espionatge cibernètic.
El que diferencia Deadglyph és la seva arquitectura poc convencional, que consta de dos components cooperants. Un és un binari x64 natiu, mentre que l'altre és un conjunt .NET. Aquesta desviació de la norma és destacable perquè la majoria de programari maliciós normalment es basa en un únic llenguatge de programació per als seus components. L'adopció d'aquest enfocament de doble llenguatge suggereix la possibilitat d'esforços de desenvolupament separats per a aquests dos components, aprofitant les capacitats úniques de cada llenguatge de programació.
A més, se sospita que l'ús deliberat de diferents llenguatges de programació serveix com a tàctica estratègica per impedir els esforços d'anàlisi. Això fa que sigui molt més difícil per als investigadors de seguretat navegar i depurar el programari maliciós, inclosa una capa més de complexitat per a la seva detecció i mitigació.
Taula de continguts
Deadglyph Backdoor mostra característiques inusuals
Deadglyph representa l'última incorporació a l'arsenal de Stealth Falcon, que es fa servir en una entitat governamental no revelada a l'Orient Mitjà. A part de les portes posteriors convencionals, aquesta eina amenaçadora rep ordres d'un servidor controlat per l'actor de l'amenaça. Aquestes ordres arriben en forma de mòduls addicionals, que atorguen a Deadglyph la capacitat d'iniciar nous processos, accedir a fitxers i recollir dades de sistemes compromesos.
El mètode exacte de lliurament de l'implant segueix sent un misteri. Tanmateix, el desencadenant inicial per a la seva execució és un carregador de codi d'intèrpret d'ordres que recupera i carrega el codi d'intèrpret d'ordres del Registre de Windows. Això, al seu torn, inicia l'execució del component x64 natiu de Deadglyph, conegut com a "Executor".
Una infecció Deadglyph pot tenir conseqüències desastroses per a les víctimes
L'Executor, un cop activat, procedeix a carregar un component .NET anomenat "Orchestrator". L'Orchestrator estableix la comunicació amb el servidor d'ordres i control (C2), esperant més directrius. Aquest programari maliciós també utilitza una sèrie de tàctiques d'evasió per mantenir-se per sota del radar, fins i tot amb la capacitat d'autodesinstal·lar-se. Les ordres rebudes del servidor es posen a la cua per a l'execució, dividint-se en tres categories diferents: tasques de l'orquestrador, tasques de l'executor i tasques de càrrega.
Les tasques de l'executor permeten controlar la gestió de la porta del darrere i l'execució de mòduls addicionals. Les tasques d'orquestrador, en canvi, gestionen la configuració dels mòduls Xarxa i Temporitzador i poden cancel·lar les tasques pendents.
S'han identificat diverses tasques de l'Executor, com ara la creació de processos, l'accés a fitxers i la recollida de metadades del sistema. El mòdul Temporitzador contacta periòdicament amb el servidor C2 juntament amb el mòdul Xarxa, facilitant la comunicació C2 mitjançant peticions HTTPS POST. Les tasques de càrrega, com el seu nom indica, permeten que la porta posterior transmeti els resultats de les ordres i els errors trobats.
Deadglyph compta amb una sèrie de mecanismes anti-detecció, inclòs el seguiment continu dels processos del sistema i la implementació de patrons de xarxa aleatoris. A més, té la capacitat d'autodesinstal·lar-se en determinats escenaris per reduir la probabilitat de detecció.
El grup Stealth Falcon Cybercrime ha estat operant durant gairebé una dècada
El Stealth Falcon, també conegut com FruityArmor, va cridar l'atenció pública inicialment el 2016 quan els investigadors van descobrir la seva implicació en atacs de programari espia dirigits a l'Orient Mitjà. Aquests atacs van ser dirigits a periodistes, activistes i dissidents als Emirats Àrabs Units (EAU). Els actors de l'amenaça van emprar tàctiques de pesca amb lanza, atraient les víctimes amb enllaços enganyosos incrustats en correus electrònics que portaven a documents carregats de macro. Aquests documents van servir com a mecanismes de lliurament d'un implant personalitzat capaç d'executar ordres arbitràries.
Una investigació posterior el 2019 va revelar una operació encoberta anomenada Project Raven, que comptava amb un grup d'antics professionals de la intel·ligència dels EUA contractats per una empresa de ciberseguretat anomenada DarkMatter. La seva missió era vigilar persones crítiques amb la monarquia àrab. Notablement, Stealth Falcon i Project Raven semblen ser un mateix, com ho demostren les seves tàctiques i objectius compartits.
Amb el temps, aquest grup s'ha relacionat amb l'explotació de vulnerabilitats de dia zero a Windows, com ara CVE-2018-8611 i CVE-2019-0797. Els investigadors de seguretat de la informació han observat que, entre el 2016 i el 2019, aquest grup d'espionatge va fer un ús més ampli de les vulnerabilitats de dia zero que qualsevol altra entitat.
Al voltant d'aquest mateix període, es va observar que l'adversari utilitzava una porta posterior coneguda com Win32/StealthFalcon. Aquesta amenaça va aprofitar el servei de transferència intel·ligent de fons de Windows (BITS) per a les comunicacions de comandament i control (C2), atorgant als atacants un control complet sobre els punts finals compromesos.
