Deadglyph Bakdør
Cybersecurity-analytikere avdekket nylig en avansert bakdør kjent som "Deadglyph", som ikke tidligere hadde blitt dokumentert. Denne sofistikerte skadevare ble brukt av en trusselaktør ved navn "Stealth Falcon" som en del av deres nettspionasjekampanje.
Det som skiller Deadglyph er dens ukonvensjonelle arkitektur, som består av to samarbeidende komponenter. Den ene er en innebygd x64-binær, mens den andre er en .NET-montering. Denne avvikelsen fra normen er bemerkelsesverdig fordi mest skadelig programvare vanligvis er avhengig av et enkelt programmeringsspråk for komponentene. Bruken av denne tospråklige tilnærmingen antyder muligheten for separate utviklingsarbeid for disse to komponentene, og utnytter de unike egenskapene til hvert programmeringsspråk.
Videre mistenkes det at bevisst bruk av ulike programmeringsspråk fungerer som en strategisk taktikk for å hindre analysearbeid. Dette gjør det betydelig mer utfordrende for sikkerhetsforskere å navigere og feilsøke skadelig programvare, inkludert enda et lag med kompleksitet til dets oppdagelse og avgrensning.
Innholdsfortegnelse
Deadglyph bakdør viser uvanlige egenskaper
Deadglyph representerer det siste tilskuddet til Stealth Falcons arsenal, brukt i en ikke avslørt statlig enhet i Midtøsten. Ved å skille det fra konvensjonelle bakdører mottar dette truende verktøyet kommandoer fra en server kontrollert av trusselaktøren. Disse kommandoene kommer i form av tilleggsmoduler, og gir Deadglyph muligheten til å starte nye prosesser, få tilgang til filer og høste data fra kompromitterte systemer.
Den nøyaktige metoden for implantatlevering forblir et mysterium. Imidlertid er den første triggeren for utføringen en shellcode-laster som henter og laster inn shellcode fra Windows-registeret. Dette initierer i sin tur utførelsen av Deadglyphs opprinnelige x64-komponent, kjent som "Executor".
En Deadglyph-infeksjon kan ha katastrofale konsekvenser for ofre
Eksekutoren, når den er aktivert, fortsetter med å laste en .NET-komponent kalt "Orchestrator". Orchestrator etablerer kommunikasjon med Command-and-Control-serveren (C2), i påvente av ytterligere direktiver. Denne skadevaren bruker også en rekke unnvikelsestaktikker for å holde seg under radaren, til og med å ha muligheten til å avinstallere seg selv. Kommandoer mottatt fra serveren står i kø for kjøring, og de faller inn i tre forskjellige kategorier: Orchestrator-oppgaver, Eksekutøroppgaver og Last opp-oppgaver.
Utføreroppgaver gir kontroll over bakdørens styring og utførelse av tilleggsmoduler. Orchestrator-oppgaver på den annen side administrerer konfigurasjonen av nettverks- og timermodulene og kan kansellere ventende oppgaver.
Flere Executor-oppgaver er identifisert, inkludert opprettelse av prosesser, filtilgang og innsamling av systemmetadata. Timer-modulen kontakter med jevne mellomrom C2-serveren i forbindelse med nettverksmodulen, og letter C2-kommunikasjon via HTTPS POST-forespørsler. Last opp oppgaver, som navnet tilsier, gjør det mulig for bakdøren å overføre resultatene av kommandoer og eventuelle feil.
Deadglyph har en rekke anti-deteksjonsmekanismer, inkludert kontinuerlig overvåking av systemprosesser og implementering av randomiserte nettverksmønstre. Videre har den muligheten til å avinstallere seg selv i visse scenarier for å redusere sannsynligheten for oppdagelse.
Stealth Falcon Cybercrime Group har vært i drift i nesten et tiår
Stealth Falcon, også kjent som FruityArmor, kom først til offentlig oppmerksomhet i 2016 da forskere avdekket involveringen i målrettede spyware-angrep i Midtøsten. Disse angrepene var rettet mot journalister, aktivister og dissidenter i De forente arabiske emirater (UAE). Trusselaktørene brukte spyd-phishing-taktikker, og lokket ofre med villedende lenker innebygd i e-poster som førte til makroladede dokumenter. Disse dokumentene fungerte som leveringsmekanismer for et tilpasset implantat som var i stand til å utføre vilkårlige kommandoer.
En påfølgende etterforskning i 2019 avduket en hemmelig operasjon kalt Project Raven, som inneholdt en gruppe tidligere amerikanske etterretningsfolk rekruttert av et nettsikkerhetsfirma kalt DarkMatter. Deres oppdrag var å overvåke individer som var kritiske til det arabiske monarkiet. Bemerkelsesverdig nok ser Stealth Falcon og Project Raven ut til å være ett og det samme, noe som fremgår av deres delte taktikk og mål.
Over tid har denne gruppen blitt knyttet til utnyttelse av nulldagssårbarheter i Windows, inkludert CVE-2018-8611 og CVE-2019-0797. Informasjonssikkerhetsforskere har lagt merke til at mellom 2016 og 2019 gjorde denne spionasjegruppen mer omfattende bruk av nulldagssårbarheter enn noen annen enhet.
Rundt samme periode ble motstanderen observert ved å bruke en bakdør kjent som Win32/StealthFalcon. Denne trusselen utnyttet Windows Background Intelligent Transfer Service (BITS) for Command-and-Control (C2)-kommunikasjon, og ga angriperne full kontroll over kompromitterte endepunkter.
