Deadglyph Bagdør
Cybersikkerhedsanalytikere har for nylig afsløret en avanceret bagdør kendt som "Deadglyph", som ikke tidligere var blevet dokumenteret. Denne sofistikerede malware blev brugt af en trusselsaktør ved navn "Stealth Falcon" som en del af deres cyberspionagekampagne.
Det, der adskiller Deadglyph, er dens ukonventionelle arkitektur, der består af to samvirkende komponenter. Den ene er en native x64 binær, mens den anden er en .NET assembly. Denne afvigelse fra normen er bemærkelsesværdig, fordi de fleste malware typisk er afhængige af et enkelt programmeringssprog for dets komponenter. Vedtagelsen af denne tosprogede tilgang antyder muligheden for separate udviklingsindsatser for disse to komponenter, der udnytter de unikke muligheder i hvert programmeringssprog.
Endvidere er der mistanke om, at bevidst brug af forskellige programmeringssprog tjener som en strategisk taktik til at hindre analyseindsatsen. Dette gør det betydeligt mere udfordrende for sikkerhedsforskere at navigere og fejlfinde malwaren, herunder endnu et lag af kompleksitet til dets opdagelse og afbødning.
Indholdsfortegnelse
Deadglyph Bagdør viser usædvanlige egenskaber
Deadglyph repræsenterer den seneste tilføjelse til Stealth Falcons arsenal, som bruges i en ikke-offentliggjort statslig enhed i Mellemøsten. Ved at adskille det fra konventionelle bagdøre modtager dette truende værktøj kommandoer fra en server, der styres af trusselsaktøren. Disse kommandoer ankommer i form af supplerende moduler, der giver Deadglyph mulighed for at starte nye processer, få adgang til filer og høste data fra kompromitterede systemer.
Den nøjagtige metode til implantatlevering forbliver et mysterium. Den første udløser for dens udførelse er dog en shellcode-indlæser, der henter og indlæser shellcode fra Windows-registreringsdatabasen. Dette initierer igen udførelsen af Deadglyphs oprindelige x64-komponent, kendt som "Executor".
En Deadglyph-infektion kan have katastrofale konsekvenser for ofrene
Når eksekutoren er aktiveret, fortsætter han med at indlæse en .NET-komponent kaldet "Orchestrator". Orchestrator etablerer kommunikation med Command-and-Control-serveren (C2), afventer yderligere direktiver. Denne malware anvender også en række undvigelsestaktikker for at holde sig under radaren, selv i besiddelse af evnen til selv at afinstallere. Kommandoer modtaget fra serveren sættes i kø til udførelse og falder i tre forskellige kategorier: Orchestrator-opgaver, Executor-opgaver og Upload-opgaver.
Eksekutøropgaver giver kontrol over bagdørens styring og eksekvering af yderligere moduler. Orchestrator-opgaver administrerer på den anden side konfigurationen af netværks- og timermodulerne og kan annullere afventende opgaver.
Adskillige Executor-opgaver er blevet identificeret, herunder oprettelse af processer, filadgang og indsamling af systemmetadata. Timer-modulet kontakter periodisk C2-serveren i forbindelse med netværksmodulet, hvilket letter C2-kommunikation via HTTPS POST-anmodninger. Uploadopgaver, som deres navn antyder, gør det muligt for bagdøren at overføre resultaterne af kommandoer og eventuelle fejl.
Deadglyph kan prale af en række anti-detektionsmekanismer, herunder kontinuerlig overvågning af systemprocesser og implementering af randomiserede netværksmønstre. Ydermere har den mulighed for selv at afinstallere i visse scenarier for at reducere sandsynligheden for detektion.
Stealth Falcon Cybercrime Group har været i drift i tæt på et årti
Stealth Falcon, også kendt som FruityArmor, kom først til offentlighedens opmærksomhed i 2016, da forskere afslørede dens involvering i målrettede spywareangreb i Mellemøsten. Disse angreb var rettet mod journalister, aktivister og dissidenter i De Forenede Arabiske Emirater (UAE). Trusselsaktørerne brugte spear-phishing-taktik, og lokkede ofre med vildledende links indlejret i e-mails, der førte til makrofyldte dokumenter. Disse dokumenter tjente som leveringsmekanismer for et tilpasset implantat, der var i stand til at udføre vilkårlige kommandoer.
En efterfølgende undersøgelse i 2019 afslørede en hemmelig operation ved navn Project Raven, som indeholdt en gruppe tidligere amerikanske efterretningsfolk rekrutteret af et cybersikkerhedsfirma kaldet DarkMatter. Deres mission var at føre overvågning af personer, der var kritiske over for det arabiske monarki. Det er bemærkelsesværdigt, at Stealth Falcon og Project Raven ser ud til at være en og samme, som det fremgår af deres fælles taktik og mål.
Over tid er denne gruppe blevet forbundet med udnyttelsen af zero-day sårbarheder i Windows, herunder CVE-2018-8611 og CVE-2019-0797. Informationssikkerhedsforskere har bemærket, at denne spionagegruppe mellem 2016 og 2019 gjorde mere omfattende brug af nul-dages sårbarheder end nogen anden enhed.
Omkring samme periode blev modstanderen observeret ved at bruge en bagdør kendt som Win32/StealthFalcon. Denne trussel udnyttede Windows Background Intelligent Transfer Service (BITS) til Command-and-Control-kommunikation (C2), hvilket gav angriberne fuldstændig kontrol over kompromitterede slutpunkter.
