Deadglyph Backdoor

تحلیلگران امنیت سایبری اخیراً یک درب پشتی پیشرفته به نام "Deadglyph" را کشف کردند که قبلاً مستند نشده بود. این بدافزار پیچیده توسط یک بازیگر تهدید به نام "Stealth Falcon" به عنوان بخشی از کمپین جاسوسی سایبری آنها به کار گرفته شد.

چیزی که Deadglyph را متمایز می کند، معماری غیر متعارف آن است که از دو جزء مشترک تشکیل شده است. یکی یک باینری x64 بومی است، در حالی که دیگری یک اسمبلی دات نت است. این انحراف از هنجار قابل توجه است زیرا اکثر بدافزارها معمولاً برای اجزای خود به یک زبان برنامه نویسی تکیه می کنند. اتخاذ این رویکرد دو زبانه امکان تلاش‌های توسعه مجزا برای این دو مؤلفه، با سرمایه‌گذاری بر قابلیت‌های منحصربه‌فرد هر زبان برنامه‌نویسی را پیشنهاد می‌کند.

علاوه بر این، گمان می رود که استفاده عمدی از زبان های برنامه نویسی مختلف به عنوان یک تاکتیک استراتژیک برای جلوگیری از تلاش های تحلیل عمل می کند. این امر، ناوبری و اشکال‌زدایی بدافزار را برای محققان امنیتی چالش‌برانگیزتر می‌کند، از جمله یک لایه پیچیدگی بیشتر برای شناسایی و کاهش آن.

Deadglyph Backdoor ویژگی های غیرعادی را نشان می دهد

Deadglyph نشان دهنده آخرین زرادخانه Stealth Falcon است که در یک نهاد دولتی نامشخص در خاورمیانه به کار می رود. با جدا کردن آن از درهای پشتی معمولی، این ابزار تهدید کننده دستورات را از سروری که توسط عامل تهدید کنترل می شود دریافت می کند. این دستورات به شکل ماژول‌های تکمیلی می‌آیند و به Deadglyph این قابلیت را می‌دهند که فرآیندهای جدید را آغاز کند، به فایل‌ها دسترسی داشته باشد و داده‌ها را از سیستم‌های در معرض خطر جمع‌آوری کند.

روش دقیق تحویل ایمپلنت همچنان یک راز باقی مانده است. با این حال، محرک اولیه برای اجرای آن، یک لودر shellcode است که پوسته کد را از رجیستری ویندوز بازیابی و بارگیری می کند. این به نوبه خود، اجرای مؤلفه x64 بومی Deadglyph را آغاز می کند که به عنوان «اجرا» شناخته می شود.

عفونت Deadglyph می تواند عواقب فاجعه باری برای قربانیان داشته باشد

Executor، پس از فعال شدن، اقدام به بارگذاری یک مؤلفه دات نت به نام «Orchestrator» می کند. ارکستراتور با سرور Command-and-Control (C2) ارتباط برقرار می کند و منتظر دستورات بعدی است. این بدافزار همچنین از مجموعه‌ای از تاکتیک‌های فرار استفاده می‌کند تا زیر رادار باقی بماند، حتی دارای قابلیت حذف نصب خودکار. دستورات دریافت شده از سرور برای اجرا در صف قرار می گیرند و به سه دسته مجزا تقسیم می شوند: وظایف ارکستراتور، وظایف مجری و وظایف آپلود.

وظایف مجری کنترل بر مدیریت درب پشتی و اجرای ماژول های اضافی را می دهد. از سوی دیگر، وظایف ارکستراتور، پیکربندی ماژول‌های شبکه و تایمر را مدیریت می‌کنند و می‌توانند وظایف معلق را لغو کنند.

چندین کار اجرایی شناسایی شده است، از جمله ایجاد فرآیندها، دسترسی به فایل، و جمع آوری ابرداده های سیستم. ماژول تایمر به طور دوره ای با سرور C2 در ارتباط با ماژول شبکه تماس می گیرد و ارتباط C2 را از طریق درخواست های HTTPS POST تسهیل می کند. وظایف آپلود، همانطور که از نام آنها پیداست، درب پشتی را قادر می سازد تا نتایج دستورات و هر گونه خطای مواجه شده را منتقل کند.

Deadglyph دارای مجموعه ای از مکانیسم های ضد تشخیص است، از جمله نظارت مداوم بر فرآیندهای سیستم و اجرای الگوهای شبکه تصادفی. علاوه بر این، دارای قابلیت حذف نصب در سناریوهای خاص برای کاهش احتمال تشخیص است.

گروه جنایات سایبری Stealth Falcon نزدیک به یک دهه است که فعالیت می کند

Stealth Falcon که با نام FruityArmor نیز شناخته می‌شود، ابتدا در سال 2016 زمانی که محققان نقش آن را در حملات هدفمند نرم‌افزارهای جاسوسی در خاورمیانه کشف کردند، مورد توجه عموم قرار گرفت. این حملات علیه روزنامه نگاران، فعالان و مخالفان در امارات متحده عربی (امارات متحده عربی) انجام شد. بازیگران تهدید از تاکتیک‌های فیشینگ نیزه‌ای استفاده می‌کردند، و قربانیان را با پیوندهای فریبنده‌ای که در ایمیل‌ها جاسازی شده بود و منجر به اسناد کلان‌بار می‌شد، جذب می‌کردند. این اسناد به عنوان مکانیسم های تحویل برای یک ایمپلنت سفارشی که قادر به اجرای دستورات دلخواه بود عمل می کرد.

تحقیقات بعدی در سال 2019 از یک عملیات مخفی به نام Project Raven پرده برداری کرد که در آن گروهی از متخصصان سابق اطلاعاتی ایالات متحده توسط یک شرکت امنیت سایبری به نام DarkMatter استخدام شده بودند. ماموریت آنها نظارت بر افراد منتقد سلطنت عرب بود. به طور قابل توجهی، Stealth Falcon و Project Raven یکسان به نظر می‌رسند، همانطور که تاکتیک‌ها و اهداف مشترکشان نشان می‌دهد.

با گذشت زمان، این گروه با سوء استفاده از آسیب‌پذیری‌های روز صفر در ویندوز، از جمله CVE-2018-8611 و CVE-2019-0797 مرتبط شده است. محققان امنیت اطلاعات خاطرنشان کرده‌اند که بین سال‌های 2016 تا 2019، این گروه جاسوسی بیش از هر نهاد دیگری از آسیب‌پذیری‌های روز صفر استفاده کرده است.

تقریباً در همین دوره، دشمن با استفاده از درب پشتی معروف به Win32/StealthFalcon مشاهده شد. این تهدید از سرویس انتقال هوشمند پس‌زمینه ویندوز (BITS) برای ارتباطات Command-and-Control (C2) استفاده کرد و به مهاجمان کنترل کامل بر نقاط پایانی در معرض خطر را داد.