Deadglyph Backdoor

Kiberdrošības analītiķi nesen atklāja uzlabotas aizmugures durvis, kas pazīstamas kā "Deadglyph", kas iepriekš nebija dokumentēta. Šo sarežģīto ļaunprogrammatūru savas kiberspiegošanas kampaņas ietvaros izmantoja draudu aktieris ar nosaukumu "Stealth Falcon".

Deadglyph atšķir tā netradicionālā arhitektūra, kas sastāv no diviem sadarbojošiem komponentiem. Viens ir vietējais x64 binārs, bet otrs ir .NET komplekts. Šī novirze no normas ir ievērības cienīga, jo lielākā daļa ļaunprātīgas programmatūras tās komponentiem parasti paļaujas uz vienu programmēšanas valodu. Šīs divu valodu pieejas pieņemšana liecina par iespēju veikt atsevišķus šo divu komponentu izstrādes pasākumus, izmantojot katras programmēšanas valodas unikālās iespējas.

Turklāt pastāv aizdomas, ka dažādu programmēšanas valodu apzināta izmantošana kalpo kā stratēģiska taktika, lai kavētu analīzes centienus. Tādējādi drošības pētniekiem ir ievērojami grūtāk orientēties un atkļūdot ļaunprātīgu programmatūru, tostarp vēl vienu sarežģītības pakāpi tās noteikšanai un mazināšanai.

Deadglyph Backdoor parāda neparastas īpašības

Deadglyph ir jaunākais Stealth Falcon arsenāla papildinājums, ko izmanto neizpaužamā valdības struktūra Tuvajos Austrumos. Šis draudu rīks, kas to atšķir no parastajām aizmugures durvīm, saņem komandas no servera, kuru kontrolē apdraudējuma dalībnieks. Šīs komandas tiek piegādātas papildu moduļu veidā, nodrošinot Deadglyph iespēju uzsākt jaunus procesus, piekļūt failiem un iegūt datus no apdraudētām sistēmām.

Precīza implanta ievadīšanas metode joprojām ir noslēpums. Tomēr sākotnējais tā izpildes aktivizētājs ir čaulas koda ielādētājs, kas izgūst un ielādē čaulas kodu no Windows reģistra. Tas savukārt ierosina Deadglyph vietējā x64 komponenta, kas pazīstams kā "Executor", izpildi.

Deadglifa infekcija var radīt postošas sekas upuriem

Kad izpildītājs ir aktivizēts, tiek ielādēts .NET komponents, ko sauc par "Orchestrator". Orchestrator izveido saziņu ar Command-and-Control (C2) serveri, gaidot papildu norādījumus. Šī ļaunprogrammatūra izmanto arī virkni izvairīšanās taktiku, lai paliktu zem radara, pat tai ir iespēja pašatinstalēt. Komandas, kas saņemtas no servera, tiek ievietotas izpildes rindā, iedalot trīs atšķirīgās kategorijās: Orchestrator uzdevumi, Izpildītāja uzdevumi un Augšupielādes uzdevumi.

Izpildītāja uzdevumi nodrošina kontroli pār aizmugures durvju vadību un papildu moduļu izpildi. Savukārt Orchestrator uzdevumi pārvalda tīkla un taimera moduļu konfigurāciju un var atcelt neapstiprinātos uzdevumus.

Ir noteikti vairāki izpildītāja uzdevumi, tostarp procesu izveide, piekļuve failiem un sistēmas metadatu vākšana. Taimera modulis periodiski sazinās ar C2 serveri kopā ar tīkla moduli, atvieglojot C2 saziņu, izmantojot HTTPS POST pieprasījumus. Augšupielādes uzdevumi, kā norāda to nosaukums, ļauj aizmugures durvīm pārsūtīt komandu rezultātus un visas konstatētās kļūdas.

Deadglyph lepojas ar virkni pretatklāšanas mehānismu, tostarp nepārtrauktu sistēmas procesu uzraudzību un nejaušinātu tīkla modeļu ieviešanu. Turklāt tam ir iespēja noteiktos scenārijos pašatinstalēt, lai samazinātu atklāšanas iespējamību.

Kibernoziegumu grupa Stealth Falcon darbojas gandrīz desmit gadus

Stealth Falcon, kas pazīstams arī kā FruityArmor, sākotnēji sabiedrības uzmanības lokā nonāca 2016. gadā, kad pētnieki atklāja savu līdzdalību mērķtiecīgos spiegprogrammatūras uzbrukumos Tuvajos Austrumos. Šie uzbrukumi bija vērsti pret žurnālistiem, aktīvistiem un disidentiem Apvienotajos Arābu Emirātos (AAE). Apdraudējumi izmantoja pikšķerēšanas taktiku, pievilinot upurus ar e-pastos iestrādātām maldinošām saitēm, kas noveda pie makropiesātinātiem dokumentiem. Šie dokumenti kalpoja kā piegādes mehānismi pielāgotam implantam, kas spēj izpildīt patvaļīgas komandas.

Turpmākā izmeklēšana 2019. gadā atklāja slēptu operāciju ar nosaukumu Project Raven, kurā piedalījās bijušo ASV izlūkdienesta profesionāļu grupa, kuru savervēja kiberdrošības uzņēmums DarkMatter. Viņu misija bija uzraudzīt personas, kuras kritizē arābu monarhiju. Jāatzīmē, ka Stealth Falcon un Project Raven ir viens un tas pats, par ko liecina viņu kopīgā taktika un mērķi.

Laika gaitā šī grupa ir saistīta ar Windows nulles dienas ievainojamību, tostarp CVE-2018-8611 un CVE-2019-0797, izmantošanu. Informācijas drošības pētnieki ir atzīmējuši, ka laika posmā no 2016. līdz 2019. gadam šī spiegošanas grupa plašāk izmantoja nulles dienas ievainojamības nekā jebkura cita organizācija.

Ap šo pašu periodu pretinieks tika novērots, izmantojot aizmugures durvis, kas pazīstamas kā Win32/StealthFalcon. Šis drauds izmantoja Windows fona inteliģento pārsūtīšanas pakalpojumu (BITS) Command-and-Control (C2) sakariem, nodrošinot uzbrucējiem pilnīgu kontroli pār apdraudētajiem galapunktiem.