Backdoor Martwego Glifu
Analitycy cyberbezpieczeństwa odkryli niedawno zaawansowanego backdoora znanego jako „Deadglyph”, który nie był wcześniej udokumentowany. To wyrafinowane złośliwe oprogramowanie zostało wykorzystane przez ugrupowanie cyberprzestępcze o nazwie „Stealth Falcon” w ramach swojej kampanii cyberszpiegowskiej.
Tym, co wyróżnia Deadglyph, jest jego niekonwencjonalna architektura, składająca się z dwóch współpracujących ze sobą komponentów. Jeden to natywny plik binarny x64, a drugi to zestaw .NET. To odejście od normy jest godne uwagi, ponieważ większość złośliwego oprogramowania zazwyczaj opiera się na jednym języku programowania dla swoich komponentów. Przyjęcie tego dwujęzycznego podejścia sugeruje możliwość odrębnych działań rozwojowych dla tych dwóch komponentów, wykorzystując unikalne możliwości każdego języka programowania.
Ponadto podejrzewa się, że celowe używanie różnych języków programowania służy jako strategiczna taktyka utrudniająca wysiłki analityczne. To znacznie utrudnia badaczom bezpieczeństwa nawigację i debugowanie złośliwego oprogramowania, co obejmuje jeszcze jeden poziom złożoności w zakresie jego wykrywania i łagodzenia skutków.
Spis treści
Backdoor Deadglyph ma niezwykłe cechy
Deadglyph reprezentuje najnowszy dodatek do arsenału Stealth Falcon, władany przez nieujawnioną jednostkę rządową na Bliskim Wschodzie. W odróżnieniu od konwencjonalnych backdoorów to groźne narzędzie otrzymuje polecenia z serwera kontrolowanego przez cyberprzestępcę. Polecenia te pojawiają się w formie dodatkowych modułów, dzięki którym Deadglyph może inicjować nowe procesy, uzyskiwać dostęp do plików i zbierać dane z zaatakowanych systemów.
Dokładny sposób wprowadzenia implantu pozostaje tajemnicą. Jednakże początkowym wyzwalaczem jego wykonania jest moduł ładujący kod powłoki, który pobiera i ładuje kod powłoki z rejestru systemu Windows. To z kolei inicjuje wykonanie natywnego komponentu x64 Deadglypha, znanego jako „executor”.
Infekcja Deadglifem może mieć katastrofalne konsekwencje dla ofiar
Po aktywacji Executor kontynuuje ładowanie komponentu .NET zwanego „Orkiestratorem”. Orkiestrator nawiązuje komunikację z serwerem dowodzenia i kontroli (C2) w oczekiwaniu na dalsze wytyczne. Szkodnik ten wykorzystuje również szereg taktyk unikania, aby pozostać poza zasięgiem radaru, a nawet posiada zdolność do samodzielnego odinstalowania. Polecenia otrzymane z serwera są umieszczane w kolejce do wykonania i dzielą się na trzy odrębne kategorie: zadania programu Orchestrator, zadania modułu wykonującego i zadania przesyłania.
Zadania executora zapewniają kontrolę nad zarządzaniem backdoorem i wykonywaniem dodatkowych modułów. Z drugiej strony zadania programu Orchestrator zarządzają konfiguracją modułów Sieć i Zegar i mogą anulować oczekujące zadania.
Zidentyfikowano kilka zadań Executora, w tym tworzenie procesów, dostęp do plików i gromadzenie metadanych systemowych. Moduł Timer okresowo kontaktuje się z serwerem C2 w połączeniu z modułem Network, ułatwiając komunikację C2 poprzez żądania HTTPS POST. Zadania przesyłania, jak sama nazwa wskazuje, umożliwiają backdoorowi przesyłanie wyników poleceń i wszelkich napotkanych błędów.
Deadglyph może pochwalić się szeregiem mechanizmów zapobiegających wykryciu, w tym ciągłym monitorowaniem procesów systemowych i wdrażaniem losowych wzorców sieci. Ponadto posiada zdolność do samodzielnego odinstalowania w niektórych scenariuszach, aby zmniejszyć prawdopodobieństwo wykrycia.
Grupa cyberprzestępcza Stealth Falcon działa od blisko dekady
Stealth Falcon, znany również jako FruityArmor, po raz pierwszy zwrócił na siebie uwagę opinii publicznej w 2016 r., kiedy badacze odkryli jego udział w ukierunkowanych atakach na oprogramowanie szpiegowskie na Bliskim Wschodzie. Ataki te były skierowane przeciwko dziennikarzom, aktywistom i dysydentom w Zjednoczonych Emiratach Arabskich (ZEA). Osoby zagrażające stosowały taktykę spear-phishingu, wabiąc ofiary zwodniczymi linkami osadzonymi w wiadomościach e-mail prowadzącymi do dokumentów zawierających makra. Dokumenty te posłużyły jako mechanizmy dostarczania niestandardowego implantu zdolnego do wykonywania dowolnych poleceń.
Późniejsze dochodzenie przeprowadzone w 2019 r. ujawniło tajną operację o nazwie Project Raven, w której brała udział grupa byłych specjalistów amerykańskiego wywiadu rekrutowanych przez firmę DarkMatter zajmującą się bezpieczeństwem cybernetycznym. Ich misją było prowadzenie inwigilacji osób krytycznych wobec monarchii arabskiej. Co ciekawe, Stealth Falcon i Project Raven wydają się być jednym i tym samym, o czym świadczy ich wspólna taktyka i cele.
Z czasem tę grupę powiązano z wykorzystywaniem luk typu zero-day w systemie Windows, w tym CVE-2018-8611 i CVE-2019-0797. Badacze zajmujący się bezpieczeństwem informacji zauważyli, że w latach 2016–2019 ta grupa szpiegowska w większym stopniu niż jakikolwiek inny podmiot wykorzystywała luki typu zero-day.
Mniej więcej w tym samym okresie zaobserwowano przeciwnika wykorzystującego backdoora znanego jako Win32/StealthFalcon. Zagrożenie to wykorzystywało usługę inteligentnego transferu w tle systemu Windows (BITS) do komunikacji typu Command-and-Control (C2), zapewniając atakującym pełną kontrolę nad zaatakowanymi punktami końcowymi.
