Deadglyph Backdoor
Analiștii de securitate cibernetică au descoperit recent o ușă din spate avansată cunoscută sub numele de „Deadglyph”, care nu fusese documentată anterior. Acest malware sofisticat a fost folosit de un actor de amenințări numit „Stealth Falcon” ca parte a campaniei lor de spionaj cibernetic.
Ceea ce diferențiază Deadglyph este arhitectura sa neconvențională, constând din două componente care cooperează. Unul este un binar nativ x64, în timp ce celălalt este un ansamblu .NET. Această abatere de la normă este demnă de remarcat, deoarece majoritatea programelor malware se bazează de obicei pe un singur limbaj de programare pentru componentele sale. Adoptarea acestei abordări în două limbi sugerează posibilitatea unor eforturi separate de dezvoltare pentru aceste două componente, valorificând capacitățile unice ale fiecărui limbaj de programare.
În plus, se suspectează că utilizarea deliberată a diferitelor limbaje de programare servește ca o tactică strategică pentru a împiedica eforturile de analiză. Acest lucru face mult mai dificil pentru cercetătorii în securitate să navigheze și să depaneze malware-ul, inclusiv un alt nivel de complexitate pentru detectarea și atenuarea acestuia.
Cuprins
Deadglyph Backdoor afișează caracteristici neobișnuite
Deadglyph reprezintă cea mai recentă adăugare la arsenalul Stealth Falcon, mânuit într-o entitate guvernamentală nedezvăluită din Orientul Mijlociu. Deosebindu-l de ușile din spate convenționale, acest instrument amenințător primește comenzi de la un server controlat de actorul amenințării. Aceste comenzi ajung sub forma unor module suplimentare, oferind lui Deadglyph capacitatea de a iniția noi procese, de a accesa fișiere și de a colecta date din sistemele compromise.
Metoda exactă de livrare a implantului rămâne un mister. Cu toate acestea, declanșatorul inițial pentru execuția sa este un încărcător de shellcode care preia și încarcă shellcode din Registrul Windows. Aceasta, la rândul său, inițiază execuția componentei x64 native a lui Deadglyph, cunoscută sub numele de „Executor”.
O infecție cu Deadglyph poate avea consecințe dezastruoase pentru victime
Executorul, odată activat, continuă să încarce o componentă .NET numită „Orchestrator”. Orchestratorul stabilește comunicarea cu serverul Command-and-Control (C2), în așteptarea unor directive ulterioare. Acest malware folosește, de asemenea, o serie de tactici de evaziune pentru a rămâne sub radar, având chiar și capacitatea de a se auto-dezinstala. Comenzile primite de la server sunt puse în coadă pentru execuție, încadrându-se în trei categorii distincte: sarcini de orchestrator, sarcini de executare și sarcini de încărcare.
Sarcinile executorului acordă control asupra managementului ușii din spate și asupra execuției modulelor suplimentare. Sarcinile de orchestrator, pe de altă parte, gestionează configurația modulelor de rețea și temporizator și pot anula sarcinile în așteptare.
Au fost identificate mai multe sarcini Executor, inclusiv crearea de procese, accesul la fișiere și colectarea metadatelor de sistem. Modulul Timer contactează periodic serverul C2 împreună cu modulul Network, facilitând comunicarea C2 prin solicitări HTTPS POST. Sarcinile de încărcare, după cum sugerează numele lor, permit backdoor-ului să transmită rezultatele comenzilor și orice erori întâlnite.
Deadglyph se mândrește cu o serie de mecanisme anti-detecție, inclusiv monitorizarea continuă a proceselor sistemului și implementarea modelelor de rețea randomizate. În plus, are capacitatea de a se auto-dezinstala în anumite scenarii pentru a reduce probabilitatea de detectare.
Grupul Stealth Falcon Cybercrime funcționează de aproape un deceniu
Stealth Falcon, cunoscut și sub numele de FruityArmor, a intrat inițial în atenția publicului în 2016, când cercetătorii au descoperit implicarea sa în atacuri de tip spyware în Orientul Mijlociu. Aceste atacuri au fost îndreptate împotriva jurnaliştilor, activiştilor şi dizidenţilor din Emiratele Arabe Unite (EAU). Actorii amenințărilor au folosit tactici de tip spear-phishing, ademenind victimele cu link-uri înșelătoare încorporate în e-mailuri care au condus la documente încărcate macro. Aceste documente au servit drept mecanisme de livrare pentru un implant personalizat capabil să execute comenzi arbitrare.
O investigație ulterioară din 2019 a dezvăluit o operațiune secretă numită Project Raven, care a prezentat un grup de foști profesioniști din serviciile de informații din SUA recrutați de o firmă de securitate cibernetică numită DarkMatter. Misiunea lor a fost de a supraveghea persoanele care criticau monarhia arabă. În mod remarcabil, Stealth Falcon și Project Raven par să fie unul și același, așa cum demonstrează tacticile și țintele lor comune.
De-a lungul timpului, acest grup a fost legat de exploatarea vulnerabilităților zero-day în Windows, inclusiv CVE-2018-8611 și CVE-2019-0797. Cercetătorii în securitatea informațiilor au observat că, între 2016 și 2019, acest grup de spionaj a folosit mai pe scară largă vulnerabilitățile zero-day decât orice altă entitate.
În aceeași perioadă, adversarul a fost observat utilizând o ușă din spate cunoscută sub numele de Win32/StealthFalcon. Această amenințare a folosit Serviciul de transfer inteligent în fundal (BITS) Windows pentru comunicațiile Command-and-Control (C2), oferind atacatorilor control complet asupra punctelor finale compromise.
