SharpStage Backdoor
MoleRats Advanced Persistent Threat (APT) -gruppen har lanceret en ny truende kampagne inden for deres sædvanlige i Mellemøsten og Nordafrika. Mere specifikt er de mål, der observeres angrebet i denne operation, højtstående politiske personer og regeringsembedsmænd i Egypten, de palæstinensiske territorier, Tyrkiet og De Forenede Arabiske Emirater. MoleRats overholder også deres mønster for at udnytte vigtige regionale begivenheder som lokker til deres phishing-e-mails. Det, der fangede infosec-forskeres opmærksomhed, er implementeringen af to nye bagdørværktøjer, en af hver de kaldte SharpStage Backdoor.
SharpStage Backdoor er en potent bagdørstrussel skrevet i .NET, der viser tegn på stadig at være under aktiv udvikling. Indtil videre har forskere afdækket tre forskellige iterationer af det truende værktøj, idet det seneste ude har kapaciteterne til at udføre vilkårlige kommandoer, høste følsomme data, tage skærmbilleder og exfiltrere alle de indsamlede oplysninger. For at sikre, at malware kun starter på de relevante mål, implementerede MoleRat-hackerne en foranstaltning, der kontrollerer, om den inficerede computer har arabisk installeret og afslutter dens udførelse, hvis kontrollen returnerer et negativt resultat.
SharpStage Backdoor er blevet observeret at downloade yderligere truende nyttelast til den kompromitterede computer, herunder Quasar RAT-rammer for fjernadgang. Selvom Quasar RAT er et legitimt Windows-værktøj, når det ses i et vakuum, kan det ikke benægtes, at flere cyberkriminelle bander allerede har indarbejdet det som en del af deres operationer. Når alt kommer til alt, giver Quasar RAT dem mulighed for let at starte keylogging, datahøst, aflytning og andre truende processer.
MoleRats APT har også hurtigt tilpasset sig den voksende tendens blandt hackere, der ser sådanne trusselsaktører, der bruger legitime sociale medieplatforme og cloud-tjenester som en del af deres malware Command-and-Control (C2, C&C) strukturer eller dataeksfiltreringsrutiner. Især SharpStage Backdoor downloader og exfiltrerer data ved at drage fordel af en Dropbox-klient-API, der kan kommunikere med Dropbox via et token.
