डेडग्लिफ ब्याकडोर

साइबरसुरक्षा विश्लेषकहरूले भर्खरै "डेडग्लिफ" भनेर चिनिने एउटा उन्नत ब्याकडोर पत्ता लगाए, जुन पहिले दस्तावेज गरिएको थिएन। यो परिष्कृत मालवेयर "स्टिल्थ फाल्कन" नामक एक खतरनाक अभिनेता द्वारा तिनीहरूको साइबर जासूसी अभियानको भागको रूपमा प्रयोग गरिएको थियो।

Deadglyph लाई अलग गर्ने कुरा भनेको यसको अपरंपरागत वास्तुकला हो, जसमा दुई सहयोगी घटकहरू छन्। एउटा नेटिभ x64 बाइनरी हो, जबकि अर्को .NET असेंबली हो। मानकबाट यो प्रस्थान उल्लेखनीय छ किनभने धेरै मालवेयर सामान्यतया यसको घटकहरूको लागि एकल प्रोग्रामिङ भाषामा निर्भर गर्दछ। यो दोहोरो-भाषा दृष्टिकोणको अपनाउनुले प्रत्येक प्रोग्रामिङ भाषाको अद्वितीय क्षमताहरूलाई पूंजीकरण गर्दै यी दुई घटकहरूको लागि अलग-अलग विकास प्रयासहरूको सम्भावनालाई सुझाव दिन्छ।

यसबाहेक, यो संदिग्ध छ कि विभिन्न प्रोग्रामिङ भाषाहरूको जानाजानी प्रयोग विश्लेषण प्रयासहरूलाई बाधा पुर्‍याउन रणनीतिक रणनीतिको रूपमा काम गर्दछ। यसले सुरक्षा अनुसन्धानकर्ताहरूका लागि मालवेयरलाई नेभिगेट गर्न र डिबग गर्न धेरै चुनौतीपूर्ण बनाउँछ, जसमा यसको पत्ता लगाउने र शमन गर्न जटिलताको थप तह समावेश छ।

डेडग्लिफ ब्याकडोरले असामान्य विशेषताहरू देखाउँछ

डेडग्लिफले स्टेल्थ फाल्कनको शस्त्रागारमा भर्खरको थपको प्रतिनिधित्व गर्दछ, जुन मध्य पूर्वमा अज्ञात सरकारी संस्थामा राखिएको छ। यसलाई परम्परागत ब्याकडोरहरूबाट अलग राख्दै, यो धम्की दिने उपकरणले खतरा अभिनेताद्वारा नियन्त्रित सर्भरबाट आदेशहरू प्राप्त गर्दछ। यी आदेशहरू पूरक मोड्युलहरूको रूपमा आइपुग्छन्, जसले Deadglyph लाई नयाँ प्रक्रियाहरू प्रारम्भ गर्न, फाइलहरू पहुँच गर्न, र सम्झौता गरिएका प्रणालीहरूबाट डेटा काट्ने क्षमता प्रदान गर्दछ।

प्रत्यारोपण वितरण को सही विधि एक रहस्य रहन्छ। यद्यपि, यसको कार्यान्वयनको लागि प्रारम्भिक ट्रिगर शेलकोड लोडर हो जसले विन्डोज रजिस्ट्रीबाट शेलकोड पुन: प्राप्त गर्दछ र लोड गर्दछ। यसले, बारीमा, Deadglyph को मूल x64 कम्पोनेन्टको कार्यान्वयन प्रारम्भ गर्दछ, जसलाई "Executor" भनिन्छ।

डेडग्लिफ संक्रमणले पीडितहरूको लागि विनाशकारी परिणामहरू हुन सक्छ

एक्जिक्यूटर, एक पटक सक्रिय भएपछि, .NET कम्पोनेन्ट लोड गर्न अगाडि बढ्छ जसलाई "अर्केस्ट्रेटर" भनिन्छ। अर्केस्ट्रेटरले आदेश-र-नियन्त्रण (C2) सर्भरसँग सञ्चार स्थापना गर्दछ, थप निर्देशनहरूको पर्खाइमा। यस मालवेयरले रडार मुनि रहनका लागि चोरी रणनीतिहरूको एक श्रृंखला पनि प्रयोग गर्दछ, स्वयं-अनइन्स्टल गर्ने क्षमता पनि राख्छ। सर्भरबाट प्राप्त कमाण्डहरू कार्यान्वयनका लागि लामबद्ध हुन्छन्, तीनवटा फरक वर्गहरूमा पर्छन्: अर्केस्ट्रेटर कार्यहरू, कार्यकारी कार्यहरू र अपलोड कार्यहरू।

कार्यकारी कार्यहरूले ब्याकडोरको व्यवस्थापन र थप मोड्युलहरूको कार्यान्वयनमा नियन्त्रण प्रदान गर्दछ। अर्केस्ट्रेटर कार्यहरू, अर्कोतर्फ, नेटवर्क र टाइमर मोड्युलहरूको कन्फिगरेसन व्यवस्थापन र पेन्डिङ कार्यहरू रद्द गर्न सक्छ।

प्रक्रियाहरूको सिर्जना, फाइल पहुँच, र प्रणाली मेटाडेटा सङ्कलन सहित धेरै कार्यकारी कार्यहरू पहिचान गरिएको छ। टाइमर मोड्युलले आवधिक रूपमा नेटवर्क मोड्युलसँग संयोजनको रूपमा C2 सर्भरलाई सम्पर्क गर्दछ, HTTPS POST अनुरोधहरू मार्फत C2 सञ्चारलाई सुविधा दिन्छ। कार्यहरू अपलोड गर्नुहोस्, तिनीहरूको नामले संकेत गरे जस्तै, आदेशहरू र कुनै पनि सामना गरिएका त्रुटिहरू प्रसारण गर्न ब्याकडोर सक्षम गर्नुहोस्।

Deadglyph ले प्रणाली प्रक्रियाहरूको निरन्तर अनुगमन र अनियमित नेटवर्क ढाँचाहरूको कार्यान्वयन सहित एन्टी-डिटेक्शन मेकानिजमहरूको एर्रेको गर्व गर्दछ। यसबाहेक, यो पत्ता लगाउने सम्भावना कम गर्न निश्चित परिदृश्यहरूमा सेल्फ-अनइन्स्टल गर्ने क्षमता राख्छ।

द स्टेल्थ फाल्कन साइबर क्राइम ग्रुप एक दशकको लागि काम गरिरहेको छ

स्टिल्थ फाल्कन, जसलाई फ्रुटीआर्मर पनि भनिन्छ, सुरुमा 2016 मा सार्वजनिक ध्यानमा आयो जब अनुसन्धानकर्ताहरूले मध्य पूर्व भित्र लक्षित स्पाइवेयर आक्रमणहरूमा यसको संलग्नता पत्ता लगाए। यी आक्रमणहरू संयुक्त अरब इमिरेट्स (युएई) मा पत्रकार, कार्यकर्ता र असन्तुष्टहरूलाई लक्षित गरिएको थियो। धम्की दिने व्यक्तिहरूले भाला-फिसिङ रणनीतिहरू प्रयोग गरे, इमेलहरूमा इम्बेड गरिएका भ्रामक लिङ्कहरूका साथ पीडितहरूलाई लोभ्याउने जसले म्याक्रो-लेडेन कागजातहरू निम्त्याउँछ। यी कागजातहरूले स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्न सक्षम कस्टम इम्प्लान्टको लागि डेलिभरी संयन्त्रको रूपमा सेवा गरे।

2019 मा पछिको अनुसन्धानले प्रोजेक्ट रेभेन नामको एक गोप्य अपरेशनको पर्दाफास गर्‍यो, जसमा डार्कम्याटर भनिने साइबर सुरक्षा फर्म द्वारा भर्ती गरिएको पूर्व अमेरिकी गुप्तचर पेशेवरहरूको समूह समावेश थियो। तिनीहरूको मिशन अरब राजतन्त्रको आलोचनात्मक व्यक्तिहरूमा निगरानी सञ्चालन गर्नु थियो। उल्लेखनीय रूपमा, स्टेल्थ फाल्कन र प्रोजेक्ट रेभेन एक र उस्तै देखिन्छन्, तिनीहरूको साझा रणनीति र लक्ष्यहरू द्वारा प्रमाणित।

समय बित्दै जाँदा, यो समूह CVE-2018-8611 र CVE-2019-0797 सहित Windows मा शून्य-दिनको जोखिमको शोषणसँग जोडिएको छ। सूचना सुरक्षा अनुसन्धानकर्ताहरूले नोट गरेका छन् कि, 2016 र 2019 को बीचमा, यो जासुसी समूहले कुनै पनि अन्य निकायको तुलनामा शून्य-दिन जोखिमहरूको अधिक व्यापक प्रयोग गरेको छ।

यही अवधिको वरिपरि, विपक्षीले Win32/StealthFalcon को रूपमा चिनिने ब्याकडोर प्रयोग गरेर देखियो। यो धम्कीले कमाण्ड-एन्ड-कन्ट्रोल (C2) संचारका लागि Windows Background Intelligent Transfer Service (BITS) को लाभ उठायो, जसले आक्रमणकारीहरूलाई सम्झौता गरिएको अन्तबिन्दुहरूमा पूर्ण नियन्त्रण प्रदान गर्‍यो।