Deadglyph Backdoor
Os analistas de segurança cibernética descobriram recentemente um backdoor avançado conhecido como “Deadglyph”, que não havia sido documentado anteriormente. Este malware sofisticado foi empregado por um agente de ameaças chamado “Stealth Falcon” como parte de sua campanha de espionagem cibernética.
O que diferencia o Deadglyph é sua arquitetura não convencional, composta por dois componentes cooperantes. Um é um binário x64 nativo, enquanto o outro é um assembly .NET. Esse desvio da norma é digno de nota porque a maioria dos malwares normalmente depende de uma única linguagem de programação para seus componentes. A adoção desta abordagem de linguagem dupla sugere a possibilidade de esforços de desenvolvimento separados para estes dois componentes, capitalizando as capacidades únicas de cada linguagem de programação.
Além disso, suspeita-se que o uso deliberado de diferentes linguagens de programação sirva como uma tática estratégica para impedir os esforços de análise. Isso torna consideravelmente mais desafiador para os pesquisadores de segurança navegar e depurar o malware, incluindo mais uma camada de complexidade para sua detecção e mitigação.
Índice
O Deadglyph Backdoor Exibe Características Incomuns
Deadglyph representa a mais recente adição ao arsenal do Stealth Falcon, exercido por uma entidade governamental não revelada no Oriente Médio. Diferenciando-se dos backdoors convencionais, esta ferramenta ameaçadora recebe comandos de um servidor controlado pelo autor da ameaça. Esses comandos chegam na forma de módulos suplementares, concedendo ao Deadglyph a capacidade de iniciar novos processos, acessar arquivos e coletar dados de sistemas comprometidos.
O método exato de colocação do implante permanece um mistério. No entanto, o gatilho inicial para sua execução é um carregador de shellcode que recupera e carrega o shellcode do Registro do Windows. Isso, por sua vez, inicia a execução do componente x64 nativo do Deadglyph, conhecido como “Executor”.
Uma Infecção pelo Deadglyph pode Ter Consequências Desastrosas para as Vítimas
O Executor, uma vez ativado, carrega um componente .NET chamado "Orquestrador". O Orquestrador estabelece comunicação com o servidor Comando e Controle (C2), aguardando novas diretrizes. Esse malware também emprega uma série de táticas de evasão para permanecer fora do radar, possuindo até mesmo a capacidade de auto-desinstalação. Os comandos recebidos do servidor são enfileirados para execução, caindo em três categorias distintas: tarefas do orquestrador, tarefas do executor e tarefas de upload.
As tarefas do executor concedem controle sobre o gerenciamento do backdoor e a execução de módulos adicionais. Já as tarefas do orquestrador gerenciam a configuração dos módulos Rede e Timer e podem cancelar tarefas pendentes.
Várias tarefas do Executor foram identificadas, incluindo a criação de processos, acesso a arquivos e coleta de metadados do sistema. O módulo Timer entra em contato periodicamente com o servidor C2 em conjunto com o módulo Rede, facilitando a comunicação C2 via solicitações HTTPS POST. As tarefas de upload, como o nome indica, permitem que o backdoor transmita os resultados dos comandos e quaisquer erros encontrados.
Deadglyph possui uma série de mecanismos antidetecção, incluindo monitoramento contínuo de processos do sistema e implementação de padrões de rede aleatórios. Além disso, possui a capacidade de auto-desinstalação em determinados cenários para reduzir a probabilidade de detecção.
O Grupo de Crimes Cibernéticos Stealth Falcon está Operando há Quase uma Década
O Stealth Falcon, também conhecido como FruityArmor, inicialmente chamou a atenção do público em 2016, quando pesquisadores descobriram seu envolvimento em ataques direcionados de spyware no Oriente Médio. Estes ataques foram dirigidos a jornalistas, ativistas e dissidentes nos Emirados Árabes Unidos (EAU). Os atores da ameaça empregaram táticas de spearphishing, atraindo as vítimas com links enganosos incorporados em e-mails que levavam a documentos carregados de macro. Esses documentos serviram como mecanismos de entrega para um implante personalizado capaz de executar comandos arbitrários.
Uma investigação subsequente em 2019 revelou uma operação secreta chamada Projeto Raven, que contou com um grupo de ex-profissionais de inteligência dos EUA recrutados por uma empresa de segurança cibernética chamada DarkMatter. A sua missão era conduzir a vigilância de indivíduos críticos da monarquia árabe. Notavelmente, Stealth Falcon e Project Raven parecem ser a mesma coisa, como evidenciado por suas táticas e alvos compartilhados.
Ao longo do tempo, este grupo foi associado à exploração de vulnerabilidades de dia zero no Windows, incluindo CVE-2018-8611 e CVE-2019-0797. Os investigadores de segurança da informação notaram que, entre 2016 e 2019, este grupo de espionagem fez uso mais extensivo de vulnerabilidades de dia zero do que qualquer outra entidade.
Por volta desse mesmo período, o adversário foi observado utilizando um backdoor conhecido como Win32/StealthFalcon. Essa ameaça aproveitou o Windows Background Intelligent Transfer Service (BITS) para comunicações de comando e controle (C2), concedendo aos invasores controle total sobre os endpoints comprometidos.
