Deadglyph Backdoor
Analitičari kibernetičke sigurnosti nedavno su otkrili napredni backdoor poznat kao "Deadglyph", koji prethodno nije bio dokumentiran. Ovaj sofisticirani zlonamjerni softver koristio je akter prijetnje pod imenom "Stealth Falcon" kao dio svoje kampanje cyber špijunaže.
Ono što izdvaja Deadglyph je njegova nekonvencionalna arhitektura, koja se sastoji od dvije komponente koje međusobno surađuju. Jedan je nativni x64 binarni, dok je drugi .NET sklop. Ovo odstupanje od norme je vrijedno pažnje jer se većina zlonamjernog softvera obično oslanja na jedan programski jezik za svoje komponente. Usvajanje ovog dvojezičnog pristupa sugerira mogućnost odvojenih razvojnih napora za ove dvije komponente, kapitalizirajući jedinstvene mogućnosti svakog programskog jezika.
Nadalje, sumnja se da namjerno korištenje različitih programskih jezika služi kao strateška taktika za ometanje analitičkih napora. Zbog toga je sigurnosnim istraživačima znatno veći izazov za navigaciju i otklanjanje pogrešaka zlonamjernog softvera, uključujući još jedan sloj složenosti za njegovo otkrivanje i ublažavanje.
Sadržaj
Deadglyph Backdoor prikazuje neobične karakteristike
Deadglyph predstavlja najnoviji dodatak arsenalu Stealth Falcona, kojim se rukuje u neotkrivenom državnom entitetu na Bliskom istoku. Odvajajući ga od uobičajenih backdoora, ovaj prijeteći alat prima naredbe s poslužitelja kojim upravlja akter prijetnje. Ove naredbe dolaze u obliku dodatnih modula, dajući Deadglyphu mogućnost pokretanja novih procesa, pristupa datotekama i sakupljanja podataka iz ugroženih sustava.
Točan način ugradnje implantata ostaje misterij. Međutim, početni okidač za njegovo izvršenje je shellcode loader koji dohvaća i učitava shellcode iz Windows registra. Ovo zauzvrat pokreće izvršenje Deadglyphove izvorne x64 komponente, poznate kao "Izvršitelj".
Infekcija mrtvim glifom može imati katastrofalne posljedice za žrtve
Executor, nakon što se aktivira, nastavlja s učitavanjem .NET komponente koja se naziva "Orchestrator". Orkestrator uspostavlja komunikaciju s Command-and-Control (C2) serverom, čekajući daljnje upute. Ovaj zlonamjerni softver također koristi niz taktika izbjegavanja kako bi ostao ispod radara, čak ima mogućnost samodeinstaliranja. Naredbe primljene s poslužitelja stavljaju se u red čekanja za izvršenje, svrstavajući se u tri različite kategorije: zadaci orkestratora, zadaci izvršitelja i zadaci prijenosa.
Zadaci izvršitelja daju kontrolu nad upravljanjem backdoorom i izvršavanjem dodatnih modula. Zadaci Orchestratora, s druge strane, upravljaju konfiguracijom modula Network i Timer i mogu otkazati zadatke na čekanju.
Identificirano je nekoliko zadataka Izvršitelja, uključujući stvaranje procesa, pristup datotekama i prikupljanje metapodataka sustava. Modul Timer povremeno kontaktira C2 poslužitelj u kombinaciji s mrežnim modulom, olakšavajući C2 komunikaciju putem HTTPS POST zahtjeva. Zadaci prijenosa, kao što njihov naziv implicira, omogućuju stražnjim vratima prijenos rezultata naredbi i svih uočenih pogrešaka.
Deadglyph se može pohvaliti nizom mehanizama protiv otkrivanja, uključujući kontinuirano praćenje procesa sustava i implementaciju nasumičnih mrežnih uzoraka. Nadalje, posjeduje mogućnost samodeinstaliranja u određenim scenarijima kako bi se smanjila vjerojatnost otkrivanja.
Skupina za kibernetički kriminal Stealth Falcon djeluje gotovo desetljeće
Stealth Falcon, poznat i kao FruityArmor, prvi je put privukao pažnju javnosti 2016. kada su istraživači otkrili njegovu umiješanost u ciljane špijunske napade na Bliskom istoku. Ovi napadi bili su usmjereni na novinare, aktiviste i disidente u Ujedinjenim Arapskim Emiratima (UAE). Akteri prijetnje koristili su se taktikom spear-phishinga, mameći žrtve varljivim poveznicama ugrađenim u e-poruke koje su vodile do dokumenata krcatih makroima. Ti su dokumenti služili kao mehanizmi za isporuku prilagođenog implantata sposobnog za izvršavanje proizvoljnih naredbi.
Istraga koja je uslijedila 2019. otkrila je tajnu operaciju pod nazivom Projekt Gavran, u kojoj je sudjelovala grupa bivših američkih obavještajnih stručnjaka koje je regrutirala tvrtka za kibernetičku sigurnost pod nazivom DarkMatter. Njihov zadatak bio je provoditi nadzor nad pojedincima koji su kritični prema arapskoj monarhiji. Nevjerojatno, čini se da su Stealth Falcon i Project Raven jedno te isto, što dokazuje njihova zajednička taktika i ciljevi.
Tijekom vremena ova se skupina povezivala s iskorištavanjem ranjivosti nultog dana u sustavu Windows, uključujući CVE-2018-8611 i CVE-2019-0797. Istraživači informacijske sigurnosti primijetili su da je između 2016. i 2019. ova špijunska skupina opsežnije koristila ranjivosti nultog dana nego bilo koji drugi entitet.
Otprilike u tom istom razdoblju, protivnik je primijećen kako koristi backdoor poznat kao Win32/StealthFalcon. Ova je prijetnja iskoristila Windows Background Intelligent Transfer Service (BITS) za Command-and-Control (C2) komunikacije, dajući napadačima potpunu kontrolu nad ugroženim krajnjim točkama.
