Porta sul retro del glifo morto
Gli analisti della sicurezza informatica hanno recentemente scoperto una backdoor avanzata nota come "Deadglyph", che non era stata precedentemente documentata. Questo sofisticato malware è stato utilizzato da un attore di minacce chiamato "Stealth Falcon" come parte della sua campagna di spionaggio informatico.
Ciò che distingue Deadglyph è la sua architettura non convenzionale, composta da due componenti cooperanti. Uno è un binario x64 nativo, mentre l'altro è un assembly .NET. Questo allontanamento dalla norma è degno di nota perché la maggior parte dei malware in genere si basa su un unico linguaggio di programmazione per i suoi componenti. L'adozione di questo approccio bilingue suggerisce la possibilità di sforzi di sviluppo separati per questi due componenti, sfruttando le capacità uniche di ciascun linguaggio di programmazione.
Inoltre, si sospetta che l'uso deliberato di diversi linguaggi di programmazione serva come tattica strategica per ostacolare gli sforzi di analisi. Ciò rende notevolmente più impegnativo per i ricercatori della sicurezza esplorare ed eseguire il debug del malware, includendo un ulteriore livello di complessità nel rilevamento e nella mitigazione.
Sommario
La porta sul retro del glifo morto mostra caratteristiche insolite
Deadglyph rappresenta l'ultima aggiunta all'arsenale di Stealth Falcon, brandito da un'entità governativa sconosciuta in Medio Oriente. A differenza delle backdoor convenzionali, questo strumento minaccioso riceve comandi da un server controllato dall'autore della minaccia. Questi comandi arrivano sotto forma di moduli supplementari, garantendo a Deadglyph la capacità di avviare nuovi processi, accedere a file e raccogliere dati da sistemi compromessi.
L’esatto metodo di inserimento dell’impianto rimane un mistero. Tuttavia, il trigger iniziale per la sua esecuzione è un caricatore di shellcode che recupera e carica lo shellcode dal registro di Windows. Questo, a sua volta, avvia l'esecuzione del componente x64 nativo di Deadglyph, noto come "Executor".
Un’infezione da glifi morti può avere conseguenze disastrose per le vittime
L'Esecutore, una volta attivato, procede al caricamento di un componente .NET chiamato "Orchestrator". L'orchestrator stabilisce la comunicazione con il server di comando e controllo (C2), in attesa di ulteriori direttive. Questo malware impiega anche una serie di tattiche di evasione per rimanere nascosto, possedendo anche la capacità di auto-disinstallarsi. I comandi ricevuti dal server vengono messi in coda per l'esecuzione, rientrando in tre categorie distinte: attività dell'orchestratore, attività dell'esecutore e attività di caricamento.
Le attività dell'esecutore garantiscono il controllo sulla gestione della backdoor e sull'esecuzione di moduli aggiuntivi. Le attività dell'orchestrator, invece, gestiscono la configurazione dei moduli Rete e Timer e possono annullare le attività in sospeso.
Sono state identificate diverse attività dell'Executor, inclusa la creazione di processi, l'accesso ai file e la raccolta di metadati di sistema. Il modulo Timer contatta periodicamente il server C2 insieme al modulo Rete, facilitando la comunicazione C2 tramite richieste POST HTTPS. Le attività di caricamento, come suggerisce il nome, consentono alla backdoor di trasmettere i risultati dei comandi e gli eventuali errori riscontrati.
Deadglyph vanta una serie di meccanismi anti-rilevamento, incluso il monitoraggio continuo dei processi di sistema e l'implementazione di modelli di rete randomizzati. Inoltre, possiede la capacità di auto-disinstallarsi in determinati scenari per ridurre la probabilità di rilevamento.
Il gruppo Stealth Falcon Cybercrime opera da quasi un decennio
Lo Stealth Falcon, noto anche come FruityArmor, ha attirato inizialmente l'attenzione del pubblico nel 2016, quando i ricercatori hanno scoperto il suo coinvolgimento in attacchi spyware mirati in Medio Oriente. Questi attacchi erano diretti a giornalisti, attivisti e dissidenti negli Emirati Arabi Uniti (EAU). Gli autori delle minacce hanno utilizzato tattiche di spear-phishing, attirando le vittime con collegamenti ingannevoli incorporati nelle e-mail che portavano a documenti carichi di macro. Questi documenti servivano come meccanismi di consegna per un impianto personalizzato in grado di eseguire comandi arbitrari.
Una successiva indagine nel 2019 ha svelato un’operazione segreta denominata Project Raven, che coinvolgeva un gruppo di ex professionisti dell’intelligence statunitense reclutati da una società di sicurezza informatica chiamata DarkMatter. La loro missione era condurre la sorveglianza su individui critici nei confronti della monarchia araba. Sorprendentemente, Stealth Falcon e Project Raven sembrano essere la stessa cosa, come evidenziato dalle loro tattiche e obiettivi condivisi.
Nel corso del tempo, questo gruppo è stato collegato allo sfruttamento delle vulnerabilità zero-day in Windows, tra cui CVE-2018-8611 e CVE-2019-0797. I ricercatori sulla sicurezza informatica hanno notato che, tra il 2016 e il 2019, questo gruppo di spionaggio ha fatto un uso più ampio delle vulnerabilità zero-day rispetto a qualsiasi altra entità.
Nello stesso periodo, è stato osservato che l'avversario utilizzava una backdoor nota come Win32/StealthFalcon. Questa minaccia ha sfruttato il servizio Windows Background Intelligent Transfer Service (BITS) per le comunicazioni Command-and-Control (C2), garantendo agli aggressori il controllo completo sugli endpoint compromessi.
