Deadglyph-achterdeur
Cybersecurity-analisten hebben onlangs een geavanceerde achterdeur ontdekt die bekend staat als 'Deadglyph' en die nog niet eerder was gedocumenteerd. Deze geavanceerde malware werd gebruikt door een bedreigingsacteur genaamd "Stealth Falcon" als onderdeel van hun cyberspionagecampagne.
Wat Deadglyph onderscheidt is de onconventionele architectuur, bestaande uit twee samenwerkende componenten. De ene is een native x64 binair bestand, de andere is een .NET-assembly. Deze afwijking van de norm is opmerkelijk omdat de meeste malware voor zijn componenten doorgaans afhankelijk is van één enkele programmeertaal. Het aannemen van deze tweetalige aanpak suggereert de mogelijkheid van afzonderlijke ontwikkelingsinspanningen voor deze twee componenten, waarbij gebruik wordt gemaakt van de unieke mogelijkheden van elke programmeertaal.
Bovendien wordt vermoed dat het doelbewuste gebruik van verschillende programmeertalen een strategische tactiek is om analyse-inspanningen te belemmeren. Dit maakt het voor beveiligingsonderzoekers aanzienlijk uitdagender om door de malware te navigeren en fouten op te sporen, inclusief een extra laag van complexiteit voor de detectie en beperking ervan.
Inhoudsopgave
Deadglyph-achterdeur vertoont ongebruikelijke kenmerken
Deadglyph vertegenwoordigt de nieuwste toevoeging aan het arsenaal van Stealth Falcon, gehanteerd in een niet nader genoemde overheidsinstantie in het Midden-Oosten. Deze bedreigende tool onderscheidt zich van conventionele achterdeurtjes en ontvangt opdrachten van een server die wordt beheerd door de bedreigingsacteur. Deze opdrachten komen binnen in de vorm van aanvullende modules, waardoor Deadglyph de mogelijkheid krijgt om nieuwe processen te initiëren, toegang te krijgen tot bestanden en gegevens van gecompromitteerde systemen te verzamelen.
De exacte wijze van implantaatafgifte blijft een mysterie. De initiële trigger voor de uitvoering ervan is echter een shellcode-lader die shellcode uit het Windows-register ophaalt en laadt. Dit initieert op zijn beurt de uitvoering van Deadglyph's eigen x64-component, bekend als de "Executor".
Een Deadglyph-infectie kan rampzalige gevolgen hebben voor slachtoffers
Eenmaal geactiveerd, gaat de Executor verder met het laden van een .NET-component genaamd de "Orchestrator". De Orchestrator brengt communicatie tot stand met de Command-and-Control (C2)-server, in afwachting van verdere richtlijnen. Deze malware maakt ook gebruik van een reeks ontwijkingstactieken om onder de radar te blijven en beschikt zelfs over de mogelijkheid om zichzelf te verwijderen. Opdrachten die van de server worden ontvangen, worden in de wachtrij geplaatst voor uitvoering en vallen in drie verschillende categorieën: Orchestrator-taken, Executor-taken en Upload-taken.
Uitvoerdertaken geven controle over het beheer van de achterdeur en de uitvoering van aanvullende modules. Orchestrator-taken beheren daarentegen de configuratie van de netwerk- en timermodules en kunnen lopende taken annuleren.
Er zijn verschillende Executor-taken geïdentificeerd, waaronder het creëren van processen, bestandstoegang en het verzamelen van systeemmetagegevens. De timermodule maakt periodiek contact met de C2-server in combinatie met de netwerkmodule, waardoor C2-communicatie via HTTPS POST-verzoeken wordt vergemakkelijkt. Uploadtaken stellen, zoals hun naam al aangeeft, de achterdeur in staat de resultaten van opdrachten en eventuele aangetroffen fouten door te geven.
Deadglyph beschikt over een scala aan anti-detectiemechanismen, waaronder continue monitoring van systeemprocessen en de implementatie van gerandomiseerde netwerkpatronen. Bovendien beschikt het over de mogelijkheid om in bepaalde scenario's zichzelf te verwijderen om de kans op detectie te verkleinen.
De Stealth Falcon Cybercrime Group is al bijna tien jaar actief
De Stealth Falcon, ook bekend als FruityArmor, kwam voor het eerst onder de publieke aandacht in 2016 toen onderzoekers zijn betrokkenheid bij gerichte spyware-aanvallen in het Midden-Oosten ontdekten. Deze aanvallen waren gericht tegen journalisten, activisten en dissidenten in de Verenigde Arabische Emiraten (VAE). De bedreigingsactoren maakten gebruik van spearphishing-tactieken, waarbij slachtoffers werden verleid met misleidende links ingebed in e-mails die naar met macro's beladen documenten leidden. Deze documenten dienden als leveringsmechanismen voor een op maat gemaakt implantaat dat willekeurige opdrachten kon uitvoeren.
Een daaropvolgend onderzoek in 2019 onthulde een geheime operatie genaamd Project Raven, waarbij een groep voormalige Amerikaanse inlichtingenprofessionals betrokken was, gerekruteerd door een cyberbeveiligingsbedrijf genaamd DarkMatter. Hun missie was om toezicht te houden op personen die kritisch stonden tegenover de Arabische monarchie. Opmerkelijk is dat Stealth Falcon en Project Raven één en dezelfde lijken te zijn, zoals blijkt uit hun gedeelde tactieken en doelen.
In de loop van de tijd is deze groep in verband gebracht met de exploitatie van zero-day-kwetsbaarheden in Windows, waaronder CVE-2018-8611 en CVE-2019-0797. Onderzoekers op het gebied van informatiebeveiliging hebben opgemerkt dat deze spionagegroep tussen 2016 en 2019 op grotere schaal gebruik heeft gemaakt van zero-day-kwetsbaarheden dan welke andere entiteit dan ook.
Rond dezelfde periode werd waargenomen dat de tegenstander een achterdeur gebruikte die bekend staat als Win32/StealthFalcon. Deze dreiging maakte gebruik van de Windows Background Intelligent Transfer Service (BITS) voor Command-and-Control (C2)-communicatie, waardoor de aanvallers volledige controle kregen over gecompromitteerde eindpunten.
