Deadglyph Backdoor
Analytici kybernetické bezpečnosti nedávno odhalili pokročilá zadní vrátka známá jako "Deadglyph", která nebyla dříve zdokumentována. Tento sofistikovaný malware byl zaměstnán hrozbou jménem „Stealth Falcon“ jako součást jejich kybernetické špionážní kampaně.
To, co Deadglyph odlišuje, je jeho nekonvenční architektura, skládající se ze dvou spolupracujících komponent. Jeden je nativní binární x64, zatímco druhý je sestavení .NET. Tento odklon od normy je pozoruhodný, protože většina malwaru se pro své komponenty obvykle spoléhá na jediný programovací jazyk. Přijetí tohoto dvoujazyčného přístupu naznačuje možnost samostatného vývoje těchto dvou komponent, využívajících jedinečných schopností každého programovacího jazyka.
Kromě toho existuje podezření, že záměrné použití různých programovacích jazyků slouží jako strategická taktika, která brání úsilí o analýzu. Díky tomu je pro bezpečnostní výzkumníky mnohem obtížnější navigovat a ladit malware, včetně další úrovně složitosti jeho detekce a zmírnění.
Obsah
Deadglyph Backdoor zobrazuje neobvyklé vlastnosti
Deadglyph představuje nejnovější přírůstek do arzenálu Stealth Falcon, který je držen v nezveřejněném vládním subjektu na Středním východě. Tento hrozivý nástroj, který se odlišuje od konvenčních zadních vrátek, přijímá příkazy ze serveru ovládaného aktérem hrozby. Tyto příkazy přicházejí ve formě doplňkových modulů, které Deadglyphu poskytují schopnost spouštět nové procesy, přistupovat k souborům a získávat data z kompromitovaných systémů.
Přesný způsob dodání implantátu zůstává záhadou. Počátečním spouštěčem pro jeho spuštění je však zavaděč kódu shellu, který načte a načte kód shellu z registru Windows. To zase iniciuje spuštění nativní x64 komponenty Deadglyph, známé jako „Executor“.
Deadglyphová infekce může mít pro oběti katastrofální následky
Jakmile je Executor aktivován, pokračuje v načítání komponenty .NET nazvané „Orchestrator“. Orchestrator naváže komunikaci se serverem Command-and-Control (C2) a čeká na další příkazy. Tento malware také využívá řadu únikových taktik, aby zůstal pod radarem, a dokonce má schopnost se sám odinstalovat. Příkazy přijaté ze serveru jsou zařazeny do fronty k provedení a spadají do tří odlišných kategorií: úlohy Orchestrator, úlohy spouštěče a úlohy nahrávání.
Úkoly exekutora poskytují kontrolu nad správou zadních vrátek a spouštěním dalších modulů. Úlohy Orchestrator na druhé straně spravují konfiguraci modulů Network a Timer a mohou zrušit čekající úlohy.
Bylo identifikováno několik úloh Executor, včetně vytváření procesů, přístupu k souborům a sběru systémových metadat. Modul časovače pravidelně kontaktuje server C2 ve spojení se síťovým modulem, což usnadňuje komunikaci C2 prostřednictvím požadavků HTTPS POST. Nahrávací úlohy, jak jejich název napovídá, umožňují zadním vrátkům přenášet výsledky příkazů a jakékoli zjištěné chyby.
Deadglyph se může pochlubit řadou antidetekčních mechanismů, včetně nepřetržitého monitorování systémových procesů a implementace náhodných síťových vzorů. Kromě toho má schopnost se v určitých scénářích samostatně odinstalovat, aby se snížila pravděpodobnost detekce.
Skupina Stealth Falcon Cybercrime Group funguje téměř deset let
Stealth Falcon, také známý jako FruityArmor, se poprvé dostal do pozornosti veřejnosti v roce 2016, když výzkumníci odhalili jeho zapojení do cílených spywarových útoků na Blízkém východě. Tyto útoky byly zaměřeny na novináře, aktivisty a disidenty ve Spojených arabských emirátech (SAE). Aktéři hrozeb použili taktiku spear-phishingu a lákali oběti podvodnými odkazy vloženými do e-mailů, které vedly k dokumentům plným makroorganismů. Tyto dokumenty sloužily jako doručovací mechanismy pro vlastní implantát schopný provádět libovolné příkazy.
Následné vyšetřování v roce 2019 odhalilo tajnou operaci s názvem Project Raven, která zahrnovala skupinu bývalých amerických zpravodajských profesionálů naverbovaných firmou DarkMatter zabývající se kybernetickou bezpečností. Jejich posláním bylo provádět sledování jednotlivců kritizujících arabskou monarchii. Je pozoruhodné, že Stealth Falcon a Project Raven vypadají jako jedno a totéž, což dokazují jejich sdílené taktiky a cíle.
Postupem času byla tato skupina spojena se zneužíváním zero-day zranitelností ve Windows, včetně CVE-2018-8611 a CVE-2019-0797. Výzkumníci informační bezpečnosti zaznamenali, že v letech 2016 až 2019 tato špionážní skupina více využívala zranitelnosti zero-day než jakýkoli jiný subjekt.
Přibližně ve stejném období byl protivník pozorován pomocí zadních vrátek známých jako Win32/StealthFalcon. Tato hrozba využila službu Windows Background Intelligent Transfer Service (BITS) pro komunikaci Command-and-Control (C2), která útočníkům poskytla úplnou kontrolu nad ohroženými koncovými body.
