SharpStage Backdoor
De MoleRats Advanced Persistent Threat (APT) -groep heeft een nieuwe dreigingscampagne gelanceerd binnen hun gebruikelijke in het Midden-Oosten en Noord-Afrika. Meer specifiek zijn de doelwitten die tijdens deze operatie worden aangevallen, hoge politieke figuren en regeringsfunctionarissen in Egypte, de Palestijnse Gebieden, Turkije en de VAE. MoleRats volgen ook hun patroon om belangrijke regionale evenementen te exploiteren als lokaas voor hun phishing-e-mails. Wat de aandacht trok van infosec-onderzoekers is de inzet van twee nieuwe backdoor-tools, waarvan ze er één de SharpStage Backdoor noemden.
De SharpStage Backdoor is een krachtige backdoor-bedreiging geschreven in .NET die tekenen vertoont dat deze nog steeds in actieve ontwikkeling is. Tot nu toe hebben onderzoekers drie verschillende iteraties van de dreigingstool ontdekt, waarbij de nieuwste versie de mogelijkheden bezit om willekeurige commando's uit te voeren, gevoelige gegevens te verzamelen, schermafbeeldingen te maken en alle verzamelde informatie te exfiltreren. Om ervoor te zorgen dat de malware alleen start op de juiste doelen, hebben de MoleRat-hackers een maatregel geïmplementeerd die controleert of de geïnfecteerde computer Arabisch heeft geïnstalleerd en de uitvoering ervan beëindigt als de controle een negatief resultaat oplevert.
Er is waargenomen dat de SharpStage Backdoor extra bedreigende ladingen downloadt naar de gecompromitteerde computer, inclusief het Quasar RAT-framework voor externe toegang. Hoewel Quasar RAT in een vacuüm een legitieme Windows-tool is, kan niet worden ontkend dat meerdere bendes van cybercriminelen het al hebben opgenomen als onderdeel van hun activiteiten. Quasar RAT stelt hen immers in staat om eenvoudig keylogging, dataverzameling, afluisteren en andere bedreigende processen te starten.
MoleRats APT heeft zich ook snel aangepast aan de groeiende trend onder hackers die dergelijke bedreigingsactoren zien die legitieme sociale mediaplatforms en cloudservices gebruiken als onderdeel van hun malware Command-and-Control (C2, C&C) -structuren of routines voor gegevensonderschepping. Met name de SharpStage Backdoor downloadt en exfiltreert gegevens door gebruik te maken van een Dropbox-client-API die met Dropbox kan communiceren via een token.
