Deadglyph Backdoor
Kibernetinio saugumo analitikai neseniai atskleidė pažangias užpakalines duris, žinomą kaip „Deadglyph“, kuri anksčiau nebuvo dokumentuota. Šią sudėtingą kenkėjišką programą įdarbino grėsmių veikėjas, pavadintas „Stealth Falcon“, vykdydamas savo kibernetinio šnipinėjimo kampaniją.
„Deadglyph“ išskiria netradicinę architektūrą, kurią sudaro du bendradarbiaujantys komponentai. Vienas yra vietinis x64 dvejetainis failas, o kitas yra .NET rinkinys. Šis nukrypimas nuo normos vertas dėmesio, nes daugumos kenkėjiškų programų komponentai paprastai priklauso nuo vienos programavimo kalbos. Pritaikius šį dviejų kalbų metodą, galima atskirti šių dviejų komponentų kūrimo pastangas, išnaudojant unikalias kiekvienos programavimo kalbos galimybes.
Be to, įtariama, kad sąmoningas skirtingų programavimo kalbų naudojimas yra strateginė taktika, trukdanti analizei. Dėl to saugumo tyrinėtojams yra daug sudėtingiau naršyti ir derinti kenkėjiškas programas, įskaitant dar vieną sudėtingumo lygį jos aptikimui ir mažinimui.
Turinys
Deadglyph Backdoor rodo neįprastas charakteristikas
„Deadglyph“ yra naujausias „Stealth Falcon“ arsenalo papildymas, naudojamas neatskleistame vyriausybiniame subjekte Artimuosiuose Rytuose. Išskyrus jį nuo įprastų užpakalinių durų, šis grėsmingas įrankis gauna komandas iš serverio, kurį kontroliuoja grėsmės veikėjas. Šios komandos pateikiamos kaip papildomi moduliai, suteikiantys „Deadglyph“ galimybę inicijuoti naujus procesus, pasiekti failus ir surinkti duomenis iš pažeistų sistemų.
Tikslus implanto įvedimo būdas tebėra paslaptis. Tačiau pradinis jo vykdymo veiksnys yra apvalkalo kodo įkėlimo programa, kuri nuskaito ir įkelia apvalkalo kodą iš „Windows“ registro. Tai, savo ruožtu, inicijuoja vietinio Deadglyph x64 komponento, žinomo kaip „vykdytojas“, vykdymą.
Deadglifų infekcija aukoms gali turėti pražūtingų pasekmių
Suaktyvintas vykdytojas pradeda įkelti .NET komponentą, vadinamą „Orchestrator“. Orchestrator užmezga ryšį su Command-and-Control (C2) serveriu ir laukia tolesnių nurodymų. Ši kenkėjiška programa taip pat taiko daugybę vengimo taktikos, kad liktų žemiau radaro ir netgi turi galimybę savarankiškai pašalinti. Iš serverio gautos komandos yra vykdomos eilėje, suskirstytos į tris skirtingas kategorijas: Orchestrator užduotis, Vykdytojo užduotis ir Įkėlimo užduotis.
Vykdytojo užduotys suteikia galinių durų valdymo ir papildomų modulių vykdymo kontrolę. Kita vertus, Orchestrator užduotys valdo tinklo ir laikmačio modulių konfigūraciją ir gali atšaukti laukiančias užduotis.
Buvo nustatytos kelios vykdytojo užduotys, įskaitant procesų kūrimą, prieigą prie failų ir sistemos metaduomenų rinkimą. Laikmačio modulis periodiškai susisiekia su C2 serveriu kartu su tinklo moduliu, palengvindamas C2 ryšį per HTTPS POST užklausas. Įkėlimo užduotys, kaip rodo jų pavadinimas, įgalina užpakalines duris perduoti komandų rezultatus ir visas aptiktas klaidas.
„Deadglyph“ gali pasigirti daugybe apsaugos nuo aptikimo mechanizmų, įskaitant nuolatinį sistemos procesų stebėjimą ir atsitiktinių tinklo modelių įgyvendinimą. Be to, tam tikrais atvejais jis turi galimybę savarankiškai pašalinti, kad sumažintų aptikimo tikimybę.
„Stealth Falcon“ elektroninių nusikaltimų grupė veikia beveik dešimtmetį
„Stealth Falcon“, dar žinomas kaip „FruityArmor“, iš pradžių sulaukė visuomenės dėmesio 2016 m., kai mokslininkai atskleidė savo dalyvavimą tikslinėse šnipinėjimo programų atakose Artimuosiuose Rytuose. Šios atakos buvo nukreiptos prieš žurnalistus, aktyvistus ir disidentus Jungtiniuose Arabų Emyratuose (JAE). Grėsmių veikėjai taikė sukčiavimo spygliu taktiką, viliodami aukas apgaulingomis nuorodomis, įterptomis į el. laiškus, kurios veda į makrokomandų kupinus dokumentus. Šie dokumentai buvo pritaikyto implanto, galinčio vykdyti savavališkas komandas, pristatymo mechanizmai.
Vėlesnis tyrimas 2019 m. atskleidė slaptą operaciją „Project Raven“, kurioje dalyvavo buvusių JAV žvalgybos profesionalų grupė, kurią įdarbino kibernetinio saugumo įmonė „DarkMatter“. Jų misija buvo stebėti asmenis, kritikuojančius arabų monarchiją. Stebėtina, kad „Stealth Falcon“ ir „Project Raven“ yra vienas ir tas pats, ką įrodo jų bendra taktika ir tikslai.
Laikui bėgant ši grupė buvo susieta su „Windows“ nulinės dienos pažeidžiamumų, įskaitant CVE-2018-8611 ir CVE-2019-0797, išnaudojimu. Informacijos saugumo tyrinėtojai pastebėjo, kad nuo 2016 iki 2019 metų ši šnipinėjimo grupė naudojo nulinės dienos pažeidžiamumą plačiau nei bet kuris kitas subjektas.
Maždaug tuo pačiu laikotarpiu priešas buvo pastebėtas naudojant užpakalines duris, žinomą kaip Win32/StealthFalcon. Ši grėsmė panaudojo „Windows Background Intelligent Transfer Service“ (BITS) komandų ir valdymo (C2) ryšiui, suteikdama užpuolikams visišką pažeistų galinių taškų kontrolę.
