Deadglyph Backdoor

אנליסטים של אבטחת סייבר חשפו לאחרונה דלת אחורית מתקדמת המכונה "Deadglyph", שלא תועדה קודם לכן. תוכנה זדונית מתוחכמת זו הועסקה על ידי שחקן איום בשם "Stealth Falcon" כחלק ממסע ריגול הסייבר שלהם.

מה שמייחד את Deadglyph הוא הארכיטקטורה הלא שגרתית שלו, המורכבת משני מרכיבים משתפים פעולה. האחד הוא קובץ בינארי x64 מקורי, בעוד השני הוא מכלול NET. חריגה זו מהנורמה ראויה לציון מכיוון שרוב התוכנות הזדוניות מסתמכות בדרך כלל על שפת תכנות אחת עבור מרכיביה. אימוץ הגישה הדו-שפתית הזו מציע אפשרות למאמצי פיתוח נפרדים עבור שני מרכיבים אלה, תוך ניצול היכולות הייחודיות של כל שפת תכנות.

יתר על כן, קיים חשד ששימוש מכוון בשפות תכנות שונות משמש כטקטיקה אסטרטגית למניעת מאמצי ניתוח. זה הופך את זה להרבה יותר מאתגר עבור חוקרי אבטחה לנווט וניפוי באגים בתוכנה הזדונית, כולל עוד שכבה אחת של מורכבות לאיתור והפחתה שלה.

Deadglyph Backdoor מציג מאפיינים יוצאי דופן

Deadglyph מייצג את התוספת האחרונה לארסנל של Stealth Falcon, המנוהל בישות ממשלתית לא ידועה במזרח התיכון. להבדל אותו מדלתות אחוריות קונבנציונליות, הכלי המאיים הזה מקבל פקודות משרת הנשלט על ידי שחקן האיום. פקודות אלו מגיעות בצורה של מודולים משלימים, המעניקים ל-Deadglyph את היכולת להפעיל תהליכים חדשים, לגשת לקבצים ולאסוף נתונים ממערכות שנפגעו.

השיטה המדויקת של מתן השתלים נותרה בגדר תעלומה. עם זאת, הטריגר הראשוני לביצוע שלו הוא טוען shellcode המאחזר וטוען shellcode מהרישום של Windows. זה, בתורו, יוזם את הביצוע של רכיב x64 המקורי של Deadglyph, המכונה "המבצע".

זיהום Deadglyph יכול להיות בעל השלכות הרות אסון עבור הקורבנות

לאחר ההפעלה, ה-Executor ממשיך לטעון רכיב NET שנקרא "Orchestrator". התזמורת יוצר תקשורת עם שרת הפיקוד והבקרה (C2), ממתין להנחיות נוספות. תוכנה זדונית זו גם משתמשת בסדרה של טקטיקות התחמקות כדי להישאר מתחת לרדאר, אפילו בעלת יכולת הסרה עצמית. פקודות המתקבלות מהשרת עומדות בתור לביצוע, ומתחלקות לשלוש קטגוריות נפרדות: משימות תזמורת, משימות מבצע ומשימות העלאה.

משימות המבצע מעניקות שליטה על ניהול הדלת האחורית וביצוע מודולים נוספים. משימות תזמורת, לעומת זאת, מנהלות את התצורה של מודולי הרשת והטיימר ויכולות לבטל משימות ממתינות.

זוהו מספר משימות ביצוע, כולל יצירת תהליכים, גישה לקבצים ואיסוף מטא נתונים של המערכת. מודול הטיימר יוצר מעת לעת קשר עם שרת C2 בשילוב עם מודול הרשת, ומאפשר תקשורת C2 באמצעות בקשות HTTPS POST. משימות העלאה, כפי שהשם מרמז, מאפשרות לדלת האחורית להעביר את התוצאות של פקודות וכל שגיאה שנתקלה בה.

Deadglyph מתגאה במערך של מנגנוני אנטי-זיהוי, כולל ניטור רציף של תהליכי מערכת והטמעה של דפוסי רשת אקראיים. יתר על כן, יש לו את היכולת להסיר את ההתקנה באופן עצמי בתרחישים מסוימים כדי להפחית את הסבירות לזיהוי.

קבוצת פשעי הסייבר Stealth Falcon פועלת כבר קרוב לעשור

The Stealth Falcon, הידוע גם בשם FruityArmor, הגיע לראשונה לתשומת לב הציבור בשנת 2016 כאשר חוקרים חשפו את מעורבותו בהתקפות ריגול ממוקדות במזרח התיכון. התקפות אלו כוונו נגד עיתונאים, פעילים ומתנגדי משטר באיחוד האמירויות הערביות (איחוד האמירויות). שחקני האיומים השתמשו בטקטיקות דיוג בחנית, ופיתו קורבנות באמצעות קישורים מטעים שהוטבעו במיילים שהובילו למסמכים עמוסי מאקרו. מסמכים אלו שימשו כמנגנוני מסירה לשתל מותאם אישית המסוגל לבצע פקודות שרירותיות.

חקירה שלאחר מכן ב-2019 חשפה מבצע חשאי בשם Project Raven, שהציג קבוצה של אנשי מקצוע לשעבר במודיעין אמריקאי שגויסו על ידי חברת אבטחת סייבר בשם DarkMatter. המשימה שלהם הייתה לנהל מעקב אחר אנשים ביקורתיים על המלוכה הערבית. למרבה הפלא, נראה כי Stealth Falcon ו-Project Raven הם אותו דבר, כפי שמעידים הטקטיקות והמטרות המשותפות שלהם.

עם הזמן, קבוצה זו נקשרת לניצול של פגיעויות של יום אפס ב-Windows, כולל CVE-2018-8611 ו-CVE-2019-0797. חוקרי אבטחת מידע ציינו שבין 2016 ל-2019, קבוצת הריגול הזו עשתה שימוש נרחב יותר בפגיעויות של יום אפס מכל ישות אחרת.

בערך באותה תקופה, היריב נצפה משתמש בדלת אחורית הידועה בשם Win32/StealthFalcon. איום זה מינף את Windows Background Intelligent Transfer Service (BITS) עבור תקשורת פיקוד ושליטה (C2), והעניק לתוקפים שליטה מלאה על נקודות קצה שנפרצו.