Pintu Belakang Deadglyph
Penganalisis keselamatan siber baru-baru ini menemui pintu belakang canggih yang dikenali sebagai "Deadglyph," yang tidak pernah didokumenkan sebelum ini. Malware canggih ini digunakan oleh pelakon ancaman bernama "Stealth Falcon" sebagai sebahagian daripada kempen pengintipan siber mereka.
Apa yang membezakan Deadglyph adalah seni binanya yang tidak konvensional, yang terdiri daripada dua komponen yang bekerjasama. Satu ialah binari x64 asli, manakala satu lagi ialah himpunan .NET. Penyimpangan daripada norma ini patut diberi perhatian kerana kebanyakan perisian hasad biasanya bergantung pada satu bahasa pengaturcaraan untuk komponennya. Penggunaan pendekatan dwi-bahasa ini mencadangkan kemungkinan usaha pembangunan berasingan untuk kedua-dua komponen ini, memanfaatkan keupayaan unik setiap bahasa pengaturcaraan.
Tambahan pula, adalah disyaki bahawa penggunaan bahasa pengaturcaraan yang berbeza secara sengaja berfungsi sebagai taktik strategik untuk menghalang usaha analisis. Ini menjadikannya lebih mencabar bagi penyelidik keselamatan untuk menavigasi dan menyahpepijat perisian hasad, termasuk satu lagi lapisan kerumitan untuk pengesanan dan pengurangannya.
Isi kandungan
Deadglyph Backdoor Memaparkan Ciri Luar Biasa
Deadglyph mewakili tambahan terbaru kepada senjata Stealth Falcon, yang digunakan dalam entiti kerajaan yang tidak didedahkan di Timur Tengah. Mengasingkan ia daripada pintu belakang konvensional, alat mengancam ini menerima arahan daripada pelayan yang dikawal oleh pelaku ancaman. Arahan ini tiba dalam bentuk modul tambahan, memberikan Deadglyph keupayaan untuk memulakan proses baharu, mengakses fail dan menuai data daripada sistem yang terjejas.
Kaedah penghantaran implan yang tepat masih menjadi misteri. Walau bagaimanapun, pencetus awal untuk pelaksanaannya ialah pemuat kod shell yang mengambil dan memuatkan kod shell daripada Windows Registry. Ini, seterusnya, memulakan pelaksanaan komponen x64 asli Deadglyph, yang dikenali sebagai "Pelaksana."
Jangkitan Deadglyph boleh Mempunyai Akibat Bencana untuk Mangsa
Pelaksana, setelah diaktifkan, meneruskan untuk memuatkan komponen .NET yang dipanggil "Orchestrator." Orchestrator mewujudkan komunikasi dengan pelayan Command-and-Control (C2), menunggu arahan selanjutnya. Malware ini juga menggunakan satu siri taktik pengelakan untuk kekal di bawah radar, malah mempunyai keupayaan untuk menyahpasang sendiri. Arahan yang diterima daripada pelayan dibariskan untuk pelaksanaan, terbahagi kepada tiga kategori berbeza: Tugas Orkestra, Tugas Pelaksana dan Tugasan Muat Naik.
Tugas pelaksana memberikan kawalan ke atas pengurusan pintu belakang dan pelaksanaan modul tambahan. Tugas Orkestra, sebaliknya, mengurus konfigurasi modul Rangkaian dan Pemasa dan boleh membatalkan tugas yang belum selesai.
Beberapa tugas Pelaksana telah dikenal pasti, termasuk penciptaan proses, akses fail dan pengumpulan metadata sistem. Modul Pemasa secara berkala menghubungi pelayan C2 bersama-sama dengan modul Rangkaian, memudahkan komunikasi C2 melalui permintaan HTTPS POST. Muat naik tugas, seperti namanya, membolehkan pintu belakang menghantar hasil arahan dan sebarang ralat yang dihadapi.
Deadglyph menawarkan pelbagai mekanisme anti-pengesan, termasuk pemantauan berterusan proses sistem dan pelaksanaan corak rangkaian rawak. Tambahan pula, ia mempunyai keupayaan untuk menyahpasang sendiri dalam senario tertentu untuk mengurangkan kemungkinan pengesanan.
Kumpulan Jenayah Siber Stealth Falcon Telah Beroperasi Selama Hampir Sedekad
Stealth Falcon, juga dikenali sebagai FruityArmor, pada mulanya menjadi perhatian umum pada 2016 apabila penyelidik mendedahkan penglibatannya dalam serangan perisian pengintip yang disasarkan di Timur Tengah. Serangan ini ditujukan kepada wartawan, aktivis, dan penentang di Emiriah Arab Bersatu (UAE). Pelaku ancaman menggunakan taktik pancingan lembing, memikat mangsa dengan pautan menipu yang tertanam dalam e-mel yang membawa kepada dokumen sarat makro. Dokumen ini berfungsi sebagai mekanisme penghantaran untuk implan tersuai yang mampu melaksanakan arahan sewenang-wenangnya.
Siasatan seterusnya pada 2019 mendedahkan operasi rahsia bernama Project Raven, yang menampilkan sekumpulan bekas profesional perisikan AS yang direkrut oleh firma keselamatan siber bernama DarkMatter. Misi mereka adalah untuk menjalankan pengawasan terhadap individu yang kritikal terhadap monarki Arab. Hebatnya, Stealth Falcon dan Project Raven nampaknya adalah satu dan sama, seperti yang dibuktikan oleh taktik dan sasaran bersama mereka.
Dari masa ke masa, kumpulan ini telah dikaitkan dengan eksploitasi kerentanan sifar hari dalam Windows, termasuk CVE-2018-8611 dan CVE-2019-0797. Penyelidik keselamatan maklumat telah menyatakan bahawa, antara 2016 dan 2019, kumpulan pengintipan ini menggunakan lebih meluas kelemahan sifar hari berbanding entiti lain.
Sekitar tempoh yang sama ini, musuh diperhatikan menggunakan pintu belakang yang dikenali sebagai Win32/StealthFalcon. Ancaman ini memanfaatkan Windows Background Intelligent Transfer Service (BITS) untuk komunikasi Command-and-Control (C2), memberikan penyerang kawalan sepenuhnya ke atas titik akhir yang terjejas.
