Deadglyph Backdoor
Kyberturvallisuusanalyytikot paljastivat äskettäin kehittyneen takaoven, joka tunnetaan nimellä "Deadglyph", jota ei ollut aiemmin dokumentoitu. Tätä kehittynyttä haittaohjelmaa käytti "Stealth Falcon" -niminen uhkatekijä osana heidän kybervakoilukampanjaansa.
Deadglyphin erottaa sen epätavallinen arkkitehtuuri, joka koostuu kahdesta yhteistyössä toimivasta komponentista. Toinen on natiivi x64-binaari, kun taas toinen on .NET-kokoonpano. Tämä poikkeaminen normista on huomionarvoista, koska useimmat haittaohjelmat käyttävät tyypillisesti yhtä ohjelmointikieltä komponenteissaan. Tämän kaksikielisen lähestymistavan omaksuminen ehdottaa mahdollisuutta kehittää erillisiä näitä kahta komponenttia hyödyntäen kunkin ohjelmointikielen ainutlaatuisia ominaisuuksia.
Lisäksi epäillään, että eri ohjelmointikielten tahallinen käyttö toimii strategisena taktiikkana analyysityön vaikeuttamiseksi. Tämä tekee tietoturvatutkijoille huomattavasti haastavampaa navigoida ja korjata haittaohjelmia, mukaan lukien yksi monimutkaisempi kerros sen havaitsemiseen ja lieventämiseen.
Sisällysluettelo
Deadglyph Backdoor näyttää epätavallisia ominaisuuksia
Deadglyph edustaa viimeisintä lisäystä Stealth Falconin arsenaaliin, jota käytettiin julkisuudessa Lähi-idässä. Tämä uhkaava työkalu erottaa sen perinteisistä takaovista, ja se vastaanottaa komentoja uhkatoimijan hallitsemalta palvelimelta. Nämä komennot saapuvat täydentävien moduulien muodossa, mikä antaa Deadglyphille mahdollisuuden käynnistää uusia prosesseja, käyttää tiedostoja ja kerätä tietoja vaarantuneista järjestelmistä.
Tarkka implanttitapa on mysteeri. Sen suorittamisen ensimmäinen laukaisin on kuitenkin shellcode-lataaja, joka hakee ja lataa shellkoodin Windowsin rekisteristä. Tämä puolestaan käynnistää Deadglyphin alkuperäisen x64-komponentin, joka tunnetaan nimellä "Executor", suorittamisen.
Deadglyph-tartunnalla voi olla tuhoisia seurauksia uhreille
Kun Executor on aktivoitu, se lataa .NET-komponentin nimeltä "Orchestrator". Orchestrator muodostaa yhteyden Command-and-Control (C2) -palvelimeen odottaen lisäohjeita. Tämä haittaohjelma käyttää myös useita kiertotaktiikoita pysyäkseen tutkan alapuolella, ja sillä on jopa kyky poistaa asennus itse. Palvelimelta saadut komennot ovat jonossa suoritettaviksi ja ne jakautuvat kolmeen eri luokkaan: Orchestrator-tehtävät, Executor-tehtävät ja lataustehtävät.
Toimeenpanotehtävät antavat hallita takaoven hallintaa ja lisämoduulien suorittamista. Orchestrator-tehtävät puolestaan hallitsevat verkko- ja ajastinmoduulien määrityksiä ja voivat peruuttaa odottavia tehtäviä.
Useita Executor-tehtäviä on tunnistettu, mukaan lukien prosessien luominen, tiedostojen käyttö ja järjestelmän metatietojen kerääminen. Ajastinmoduuli ottaa säännöllisesti yhteyttä C2-palvelimeen verkkomoduulin yhteydessä, mikä helpottaa C2-viestintää HTTPS POST -pyyntöjen kautta. Lataustehtävät, kuten niiden nimi kertoo, mahdollistavat takaoven välittää komentojen tulokset ja mahdolliset virheet.
Deadglyph tarjoaa joukon tunnistusmekanismeja, mukaan lukien järjestelmäprosessien jatkuva seuranta ja satunnaistettujen verkkomallien käyttöönotto. Lisäksi se pystyy poistamaan asennuksen itsestään tietyissä tilanteissa havaitsemisen todennäköisyyden vähentämiseksi.
Stealth Falcon Cybercrime Group on toiminut lähes vuosikymmenen ajan
Stealth Falcon, joka tunnetaan myös nimellä FruityArmor, nousi julkisuuteen alun perin vuonna 2016, kun tutkijat paljastivat sen osallisuuden kohdistetuissa vakoiluohjelmahyökkäyksissä Lähi-idässä. Nämä hyökkäykset kohdistuivat toimittajiin, aktivisteihin ja toisinajattelijoihin Yhdistyneissä arabiemiirikunnissa (UAE). Uhkatoimijat käyttivät keihästietojenkalastelutaktiikkaa houkutellen uhreja sähköposteihin upotetuilla petollisilla linkeillä, jotka johtivat makrokuormitettuihin asiakirjoihin. Nämä asiakirjat toimivat toimitusmekanismeina mukautetulle implantille, joka pystyy suorittamaan mielivaltaisia komentoja.
Myöhempi tutkimus vuonna 2019 paljasti Project Raven -nimisen salaisen operaation, jossa oli joukko entisiä yhdysvaltalaisia tiedustelualan ammattilaisia, jotka oli värvätty DarkMatter-nimisen kyberturvallisuusyrityksen toimesta. Heidän tehtävänsä oli valvoa arabimonarkiaa arvostelevia henkilöitä. Huomattavaa on, että Stealth Falcon ja Project Raven näyttävät olevan yksi ja sama, mikä näkyy heidän yhteisissä taktiikoissaan ja tavoitteissaan.
Ajan myötä tämä ryhmä on yhdistetty Windowsin nollapäivän haavoittuvuuksien hyödyntämiseen, mukaan lukien CVE-2018-8611 ja CVE-2019-0797. Tietoturvatutkijat ovat havainneet, että vuosina 2016-2019 tämä vakoiluryhmä käytti nollapäivän haavoittuvuuksia laajemmin kuin mikään muu taho.
Noin samana ajanjaksona vihollista havaittiin käyttämällä Win32/StealthFalcon-nimistä takaovea. Tämä uhka hyödynsi Windows Background Intelligent Transfer Service (BITS) -palvelua Command-and-Control (C2) -viestintään, mikä antoi hyökkääjille täydellisen hallinnan vaarantuneisiin päätepisteisiin.
