Backdoor SharpStage

Il gruppo MoleRats Advanced Persistent Threat (APT) ha lanciato una nuova campagna minacciosa nel loro consueto in Medio Oriente e Nord Africa. Più specificamente, gli obiettivi osservati per essere attaccati in questa operazione sono figure politiche di alto rango e funzionari governativi in Egitto, Territori palestinesi, Turchia e Emirati Arabi Uniti. I MoleRats stanno anche aderendo al loro modello di sfruttare eventi regionali significativi come esche per le loro e-mail di phishing. Ciò che ha attirato l'attenzione dei ricercatori di infosec è l'implementazione di due nuovi strumenti backdoor, uno di ciascuno chiamato SharpStage Backdoor.

SharpStage Backdoor è una potente minaccia backdoor scritta in .NET che mostra segni di essere ancora in fase di sviluppo attivo. Finora, i ricercatori hanno scoperto tre diverse iterazioni dello strumento minaccioso, con l'ultima in possesso delle capacità di eseguire comandi arbitrari, raccogliere dati sensibili, acquisire schermate ed esfiltrare tutte le informazioni raccolte. Per garantire che il malware si avvii solo sugli obiettivi appropriati, gli hacker di MoleRat hanno implementato una misura che controlla se il computer infetto ha installato l'arabo e termina la sua esecuzione se il controllo restituisce un risultato negativo.

È stato osservato che la backdoor di SharpStage scarica ulteriori payload minacciosi sul computer compromesso, incluso il framework di accesso remoto Quasar RAT. Sebbene Quasar RAT sia uno strumento Windows legittimo se visto sotto vuoto, non si può negare che più bande di criminali informatici lo abbiano già incorporato come parte delle loro operazioni. Dopo tutto, Quasar RAT consente loro di avviare facilmente keylogging, raccolta di dati, intercettazioni e altri processi minacciosi.

MoleRats APT si è inoltre adattato rapidamente alla crescente tendenza tra gli hacker che vede tali attori delle minacce utilizzare piattaforme di social media e servizi cloud legittimi come parte delle loro strutture di Command-and-Control (C2, C&C) malware o routine di esfiltrazione dei dati. La Backdoor SharpStage, in particolare, scarica ed estrae i dati sfruttando un'API client Dropbox in grado di comunicare con Dropbox tramite un token.