Deadglyph Backdoor
A kiberbiztonsági elemzők a közelmúltban felfedeztek egy „Deadglyph” néven ismert fejlett hátsó ajtót, amelyet korábban nem dokumentáltak. Ezt a kifinomult rosszindulatú programot egy "Stealth Falcon" nevű fenyegető szereplő alkalmazta kiberkémkedési kampányuk részeként.
Ami a Deadglyph-ot megkülönbözteti, az a nem szokványos architektúra, amely két együttműködő komponensből áll. Az egyik egy natív x64 bináris, míg a másik egy .NET szerelvény. Ez a normától való eltérés azért figyelemre méltó, mert a legtöbb rosszindulatú program jellemzően egyetlen programozási nyelvre támaszkodik összetevőihez. Ennek a kétnyelvű megközelítésnek az elfogadása azt sugallja, hogy e két összetevő esetében külön fejlesztési erőfeszítések történhetnek, kihasználva az egyes programozási nyelvek egyedi képességeit.
Ezenkívül gyanítható, hogy a különböző programozási nyelvek szándékos használata stratégiai taktikaként akadályozza meg az elemzési erőfeszítéseket. Ez jelentősen megnehezíti a biztonsági kutatók számára a rosszindulatú programokban való navigálást és hibakeresést, beleértve az észlelés és a károk enyhítésének egy újabb összetett rétegét.
Tartalomjegyzék
A Deadglyph Backdoor szokatlan jellemzőket jelenít meg
A Deadglyph a Stealth Falcon arzenáljának legújabb tagja, amelyet a Közel-Keleten egy nem titkolt kormányzati szervezet használ. A hagyományos hátsó ajtóktól eltekintve ez a fenyegető eszköz parancsokat kap a fenyegetés szereplője által irányított szervertől. Ezek a parancsok kiegészítő modulok formájában érkeznek, lehetővé téve a Deadglyph számára, hogy új folyamatokat indítson el, hozzáférjen a fájlokhoz, és adatokat gyűjtsön össze a feltört rendszerekről.
Az implantátum beültetésének pontos módja továbbra is rejtély marad. A végrehajtás kezdeti indítója azonban egy shellcode-betöltő, amely lekéri és betölti a shellkódot a Windows rendszerleíró adatbázisából. Ez viszont elindítja a Deadglyph natív x64 komponensének, az "Executor" néven ismert komponensének végrehajtását.
A Deadglyph fertőzés katasztrofális következményekkel járhat az áldozatok számára
Az Executor aktiválása után betölti a "Orchestrator" nevű .NET komponenst. Az Orchestrator kommunikációt létesít a Command-and-Control (C2) szerverrel, várva a további utasításokat. Ez a rosszindulatú program egy sor kijátszási taktikát is alkalmaz, hogy a radar alatt maradjon, még az öneltávolítási képességgel is. A kiszolgálótól kapott parancsok végrehajtásra várósorba kerülnek, három különböző kategóriába sorolva: Orchestrator feladatok, Végrehajtó feladatok és Feltöltési feladatok.
A végrehajtói feladatok ellenőrzést biztosítanak a hátsó ajtó kezelésében és további modulok végrehajtásában. Az Orchestrator feladatok viszont kezelik a Hálózati és Időzítő modulok konfigurációját, és törölhetik a függőben lévő feladatokat.
Számos végrehajtói feladatot azonosítottak, beleértve a folyamatok létrehozását, a fájlhozzáférést és a rendszer metaadatainak gyűjtését. Az időzítő modul rendszeresen kapcsolatba lép a C2 szerverrel a hálózati modullal együtt, megkönnyítve a C2 kommunikációt HTTPS POST kéréseken keresztül. A feltöltési feladatok, ahogy a nevük is sugallja, lehetővé teszik a hátsó ajtó számára, hogy továbbítsa a parancsok eredményeit és az esetleges hibákat.
A Deadglyph számos észlelési mechanizmussal büszkélkedhet, beleértve a rendszerfolyamatok folyamatos figyelését és a véletlenszerű hálózati minták megvalósítását. Ezenkívül bizonyos forgatókönyvek esetén képes öneltávolítani az észlelés valószínűségét.
A Stealth Falcon Cybercrime Group közel egy évtizede működik
A Stealth Falcon, más néven FruityArmor, kezdetben 2016-ban került a nyilvánosság figyelmébe, amikor a kutatók felfedték a Közel-Keleten belüli célzott kémprogram-támadásokban való részvételét. Ezek a támadások újságírók, aktivisták és disszidensek ellen irányultak az Egyesült Arab Emírségekben (EAE). A fenyegetés szereplői lándzsás adathalász taktikát alkalmaztak, és e-mailekbe ágyazott megtévesztő linkekkel csalogatták az áldozatokat, amelyek makrókkal teli dokumentumokhoz vezettek. Ezek a dokumentumok szállítási mechanizmusként szolgáltak egy egyedi implantátumhoz, amely tetszőleges parancsok végrehajtására képes.
Egy későbbi, 2019-es vizsgálat leleplezte a Project Raven nevű titkos műveletet, amelyben a DarkMatter nevű kiberbiztonsági cég által toborzott egykori amerikai titkosszolgálati szakemberek csoportja vett részt. Feladatuk az volt, hogy megfigyeljék az arab monarchiát kritizáló egyéneket. Figyelemre méltó, hogy a Stealth Falcon és a Project Raven egy és ugyanaz, amint azt a közös taktikájuk és céljaik is bizonyítják.
Idővel ezt a csoportot a Windows nulladik napi sebezhetőségeinek – köztük a CVE-2018-8611 és a CVE-2019-0797 – kihasználásával hozták kapcsolatba. Az információbiztonsággal foglalkozó kutatók megjegyezték, hogy 2016 és 2019 között ez a kémcsoport nagyobb mértékben használta fel a nulladik napi sebezhetőséget, mint bármely más entitás.
Ugyanebben az időszakban az ellenfelet a Win32/StealthFalcon néven ismert hátsó ajtón keresztül figyelték meg. Ez a fenyegetés a Windows háttérben működő intelligens átviteli szolgáltatását (BITS) használta a Command-and-Control (C2) kommunikációhoz, így a támadók teljes irányítást biztosítanak a feltört végpontok felett.
