Deadglyph Backdoor
Αναλυτές κυβερνοασφάλειας αποκάλυψαν πρόσφατα μια προηγμένη κερκόπορτα γνωστή ως "Deadglyph", η οποία δεν είχε τεκμηριωθεί στο παρελθόν. Αυτό το εξελιγμένο κακόβουλο λογισμικό χρησιμοποιήθηκε από έναν ηθοποιό απειλών με το όνομα "Stealth Falcon" ως μέρος της εκστρατείας κατασκοπείας στον κυβερνοχώρο.
Αυτό που ξεχωρίζει το Deadglyph είναι η αντισυμβατική αρχιτεκτονική του, που αποτελείται από δύο συνεργαζόμενα στοιχεία. Το ένα είναι ένα εγγενές δυαδικό x64, ενώ το άλλο είναι ένα συγκρότημα .NET. Αυτή η απόκλιση από τον κανόνα είναι αξιοσημείωτη, επειδή τα περισσότερα κακόβουλα προγράμματα βασίζονται συνήθως σε μία γλώσσα προγραμματισμού για τα στοιχεία του. Η υιοθέτηση αυτής της διγλωσσικής προσέγγισης προτείνει τη δυνατότητα ξεχωριστών προσπαθειών ανάπτυξης για αυτά τα δύο στοιχεία, αξιοποιώντας τις μοναδικές δυνατότητες κάθε γλώσσας προγραμματισμού.
Επιπλέον, υπάρχει η υποψία ότι η σκόπιμη χρήση διαφορετικών γλωσσών προγραμματισμού χρησιμεύει ως στρατηγική τακτική για να εμποδίσει τις προσπάθειες ανάλυσης. Αυτό καθιστά πολύ πιο δύσκολο για τους ερευνητές ασφάλειας να πλοηγηθούν και να διορθώσουν το κακόβουλο λογισμικό, συμπεριλαμβανομένου ενός ακόμη επιπέδου πολυπλοκότητας για τον εντοπισμό και τον μετριασμό του.
Πίνακας περιεχομένων
Το Deadglyph Backdoor εμφανίζει ασυνήθιστα χαρακτηριστικά
Το Deadglyph αντιπροσωπεύει την τελευταία προσθήκη στο οπλοστάσιο του Stealth Falcon, που χρησιμοποιείται σε μια άγνωστη κυβερνητική οντότητα στη Μέση Ανατολή. Ξεχωρίζοντας από τις συμβατικές κερκόπορτες, αυτό το απειλητικό εργαλείο λαμβάνει εντολές από έναν διακομιστή που ελέγχεται από τον παράγοντα απειλής. Αυτές οι εντολές φτάνουν με τη μορφή συμπληρωματικών ενοτήτων, δίνοντας στο Deadglyph τη δυνατότητα να εκκινεί νέες διεργασίες, να έχει πρόσβαση σε αρχεία και να συλλέγει δεδομένα από παραβιασμένα συστήματα.
Η ακριβής μέθοδος τοποθέτησης του εμφυτεύματος παραμένει μυστήριο. Ωστόσο, το αρχικό έναυσμα για την εκτέλεσή του είναι ένα πρόγραμμα φόρτωσης shellcode που ανακτά και φορτώνει τον shellcode από το μητρώο των Windows. Αυτό, με τη σειρά του, ξεκινά την εκτέλεση του εγγενούς στοιχείου x64 του Deadglyph, γνωστό ως "Εκτελεστής".
Μια μόλυνση από Deadglyph μπορεί να έχει καταστροφικές συνέπειες για τα θύματα
Ο Executor, μόλις ενεργοποιηθεί, προχωρά στη φόρτωση ενός στοιχείου .NET που ονομάζεται "Orchestrator". Ο ενορχηστρωτής δημιουργεί επικοινωνία με τον διακομιστή Command-and-Control (C2), εν αναμονή περαιτέρω οδηγιών. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί επίσης μια σειρά από τακτικές αποφυγής για να παραμείνει κάτω από το ραντάρ, έχοντας ακόμη και τη δυνατότητα αυτο-απεγκατάστασης. Οι εντολές που λαμβάνονται από τον διακομιστή βρίσκονται στην ουρά για εκτέλεση και εμπίπτουν σε τρεις διακριτές κατηγορίες: Εργασίες ενορχηστρωτή, εργασίες εκτελεστή και εργασίες αποστολής.
Οι εργασίες του εκτελεστή παρέχουν έλεγχο στη διαχείριση της κερκόπορτας και στην εκτέλεση πρόσθετων λειτουργικών μονάδων. Οι εργασίες ενορχηστρωτή, από την άλλη πλευρά, διαχειρίζονται τη διαμόρφωση των λειτουργικών μονάδων Network και Timer και μπορούν να ακυρώσουν εκκρεμείς εργασίες.
Έχουν εντοπιστεί αρκετές εργασίες Executor, συμπεριλαμβανομένης της δημιουργίας διεργασιών, της πρόσβασης στα αρχεία και της συλλογής μεταδεδομένων του συστήματος. Η μονάδα Timer επικοινωνεί περιοδικά με τον διακομιστή C2 σε συνδυασμό με τη μονάδα δικτύου, διευκολύνοντας την επικοινωνία C2 μέσω αιτημάτων HTTPS POST. Οι εργασίες μεταφόρτωσης, όπως υποδηλώνει το όνομά τους, επιτρέπουν στο backdoor να μεταδίδει τα αποτελέσματα των εντολών και τυχόν σφάλματα που συναντώνται.
Το Deadglyph διαθέτει μια σειρά από μηχανισμούς κατά της ανίχνευσης, συμπεριλαμβανομένης της συνεχούς παρακολούθησης των διαδικασιών του συστήματος και της εφαρμογής τυχαιοποιημένων μοτίβων δικτύου. Επιπλέον, διαθέτει τη δυνατότητα αυτόματης απεγκατάστασης σε ορισμένα σενάρια για μείωση της πιθανότητας ανίχνευσης.
Η ομάδα Ηλεκτρονικού Εγκλήματος Stealth Falcon λειτουργεί εδώ και σχεδόν μια δεκαετία
Το Stealth Falcon, γνωστό και ως FruityArmor, ήρθε αρχικά στην προσοχή του κοινού το 2016 όταν οι ερευνητές αποκάλυψαν τη συμμετοχή του σε στοχευμένες επιθέσεις spyware στη Μέση Ανατολή. Αυτές οι επιθέσεις στράφηκαν σε δημοσιογράφους, ακτιβιστές και αντιφρονούντες στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ). Οι φορείς απειλών χρησιμοποίησαν τακτικές spear-phishing, δελεάζοντας τα θύματα με παραπλανητικούς συνδέσμους ενσωματωμένους σε email που οδηγούσαν σε έγγραφα με μακροεντολές. Αυτά τα έγγραφα χρησίμευαν ως μηχανισμοί παράδοσης για ένα προσαρμοσμένο εμφύτευμα ικανό να εκτελεί αυθαίρετες εντολές.
Μια μεταγενέστερη έρευνα το 2019 αποκάλυψε μια μυστική επιχείρηση με το όνομα Project Raven, η οποία περιλάμβανε μια ομάδα πρώην επαγγελματιών πληροφοριών των ΗΠΑ που στρατολογήθηκαν από μια εταιρεία κυβερνοασφάλειας που ονομάζεται DarkMatter. Η αποστολή τους ήταν να παρακολουθούν άτομα που επικρίνουν την αραβική μοναρχία. Αξιοσημείωτα, το Stealth Falcon και το Project Raven φαίνεται να είναι ένα και το αυτό, όπως αποδεικνύεται από τις κοινές τακτικές και τους στόχους τους.
Με την πάροδο του χρόνου, αυτή η ομάδα έχει συνδεθεί με την εκμετάλλευση τρωτών σημείων zero-day στα Windows, συμπεριλαμβανομένων των CVE-2018-8611 και CVE-2019-0797. Οι ερευνητές ασφάλειας πληροφοριών έχουν σημειώσει ότι, μεταξύ 2016 και 2019, αυτή η ομάδα κατασκοπείας έκανε πιο εκτεταμένη χρήση των τρωτών σημείων zero-day από οποιαδήποτε άλλη οντότητα.
Περίπου την ίδια περίοδο, ο αντίπαλος παρατηρήθηκε να χρησιμοποιεί μια κερκόπορτα γνωστή ως Win32/StealthFalcon. Αυτή η απειλή αξιοποίησε την υπηρεσία έξυπνης μεταφοράς παρασκηνίου των Windows (BITS) για επικοινωνίες Command-and-Control (C2), παρέχοντας στους εισβολείς τον πλήρη έλεγχο των παραβιασμένων τελικών σημείων.
