Deadglyph tagauks
Küberturvalisuse analüütikud avastasid hiljuti täiustatud tagaukse, mida tuntakse kui "Deadglyph", mida ei olnud varem dokumenteeritud. Seda keerulist pahavara kasutas nende küberspionaažikampaania osana ähvardaja nimega "Stealth Falcon".
Deadglyphi eristab selle ebatavaline arhitektuur, mis koosneb kahest koostööd tegevast komponendist. Üks on natiivne x64-binaarfail, teine on .NET-koost. See normist kõrvalekaldumine on tähelepanuväärne, kuna enamik pahavara kasutab oma komponentide jaoks tavaliselt ühte programmeerimiskeelt. Selle kahekeelse lähenemisviisi kasutuselevõtt viitab võimalusele teha nende kahe komponendi jaoks eraldi arendustööd, kasutades ära iga programmeerimiskeele ainulaadseid võimalusi.
Lisaks kahtlustatakse, et erinevate programmeerimiskeelte tahtlik kasutamine on strateegiline taktika analüüsitegevuse takistamiseks. See muudab turvateadlaste jaoks ründevaras navigeerimise ja silumise märkimisväärselt keerulisemaks, sealhulgas on selle tuvastamiseks ja leevendamiseks veel üks keerukam kiht.
Sisukord
Deadglyph Backdoor kuvab ebatavalisi omadusi
Deadglyph esindab uusimat täiendust Stealth Falconi arsenali, mida kasutatakse Lähis-Ida avalikustamata valitsusüksuses. Eraldades tavapärastest tagaustest, saab see ähvardav tööriist käske serverilt, mida kontrollib ohutegija. Need käsud saabuvad täiendavate moodulitena, mis annavad Deadglyphile võimaluse algatada uusi protsesse, pääseda juurde failidele ja koguda andmeid ohustatud süsteemidest.
Täpne implantaadi kohaletoimetamise viis jääb saladuseks. Selle käivitamise esialgne päästik on aga shellcode loader, mis hangib ja laadib shellkoodi Windowsi registrist. See omakorda käivitab Deadglyphi algse x64 komponendi, mida tuntakse "Executor" nime all.
Deadglyph-infektsioonil võivad olla ohvritele katastroofilised tagajärjed
Pärast aktiveerimist laadib täitja .NET-i komponendi nimega "Orchestrator". Orchestrator loob ühenduse käsu-ja juhtimise (C2) serveriga, oodates edasisi juhiseid. See pahavara kasutab ka mitmeid kõrvalehoidmise taktikaid, et jääda radarist allapoole, isegi omades võimalust ise desinstallida. Serverilt saadud käsud pannakse täitmise järjekorda, jagunedes kolme erinevasse kategooriasse: Orchestratori ülesanded, täitja ülesanded ja üleslaadimise ülesanded.
Täitja ülesanded annavad kontrolli tagaukse juhtimise ja lisamoodulite täitmise üle. Orchestratori ülesanded seevastu haldavad võrgu- ja taimerimoodulite konfiguratsiooni ning saavad tühistada ootel olevaid ülesandeid.
On tuvastatud mitmeid täitja ülesandeid, sealhulgas protsesside loomine, juurdepääs failidele ja süsteemi metaandmete kogumine. Taimeri moodul võtab perioodiliselt ühendust C2-serveriga koos võrgumooduliga, hõlbustades C2-suhtlust HTTPS-i POST-päringute kaudu. Üleslaadimisülesanded, nagu nende nimigi viitab, võimaldavad tagauksel edastada käskude tulemusi ja ilmnenud vigu.
Deadglyphil on hulgaliselt tuvastamisvastaseid mehhanisme, sealhulgas süsteemi protsesside pidev jälgimine ja randomiseeritud võrgumustrite rakendamine. Lisaks on sellel teatud stsenaariumide korral võimalus ise desinstallida, et vähendada tuvastamise tõenäosust.
Küberkuritegevuse rühmitus Stealth Falcon on tegutsenud peaaegu kümme aastat
Stealth Falcon, tuntud ka kui FruityArmor, jõudis avalikkuse tähelepanu alla 2016. aastal, kui teadlased avastasid selle seotuse sihitud nuhkvararünnakutega Lähis-Idas. Need rünnakud olid suunatud Araabia Ühendemiraatide (AÜE) ajakirjanike, aktivistide ja dissidentide vastu. Ohutegijad kasutasid andmepüügi taktikat, meelitades ohvreid e-kirjadesse manustatud petlike linkidega, mis viisid makrokoormatud dokumentideni. Need dokumendid toimisid kohaletoimetamise mehhanismidena kohandatud implantaadi jaoks, mis on võimeline täitma suvalisi käske.
Hilisem uurimine 2019. aastal paljastas varjatud operatsiooni nimega Project Raven, milles osales rühm endisi USA luurespetsialiste, kelle värvati küberjulgeolekufirma DarkMatter. Nende ülesanne oli jälgida araabia monarhiat kritiseerivaid inimesi. Tähelepanuväärselt näivad Stealth Falcon ja Project Raven olevat üks ja sama, mida tõendab nende ühine taktika ja eesmärgid.
Aja jooksul on seda rühma seostatud Windowsi nullpäeva turvaaukude, sealhulgas CVE-2018-8611 ja CVE-2019-0797 ärakasutamisega. Infoturbe uurijad on märkinud, et aastatel 2016–2019 kasutas see spionaažirühm nullpäeva turvaauke ulatuslikumalt kui ükski teine üksus.
Umbes samal perioodil vaadeldi vastast, kes kasutas Win32/StealthFalconi nime all tuntud tagaust. See oht kasutas Command-and-Control (C2) side jaoks Windowsi taustaga intelligentset edastusteenust (BITS), andes ründajatele täieliku kontrolli ohustatud lõpp-punktide üle.
