Черная дверь мертвого глифа
Аналитики кибербезопасности недавно обнаружили продвинутый бэкдор, известный как «Deadglyph», который ранее не был задокументирован. Это сложное вредоносное ПО использовалось злоумышленником по имени «Стелс Сокол» в рамках своей кампании кибершпионажа.
Что отличает Deadglyph, так это его нетрадиционная архитектура, состоящая из двух взаимодействующих компонентов. Один из них — собственный двоичный файл x64, а другой — сборка .NET. Такое отклонение от нормы примечательно, поскольку большинство вредоносных программ обычно используют один и тот же язык программирования для своих компонентов. Принятие этого двухъязыкового подхода предполагает возможность отдельной разработки этих двух компонентов с использованием уникальных возможностей каждого языка программирования.
Более того, есть подозрение, что намеренное использование разных языков программирования служит стратегической тактикой, препятствующей усилиям по анализу. Это значительно усложняет исследователям безопасности навигацию и отладку вредоносного ПО, включая еще один уровень сложности в его обнаружении и смягчении последствий.
Оглавление
Бэкдор Deadglyph демонстрирует необычные характеристики
Deadglyph представляет собой новейшее пополнение арсенала Stealth Falcon, которым владеет нераскрытая правительственная структура на Ближнем Востоке. В отличие от обычных бэкдоров, этот угрожающий инструмент получает команды от сервера, контролируемого злоумышленником. Эти команды поступают в виде дополнительных модулей, предоставляя Deadglyph возможность инициировать новые процессы, получать доступ к файлам и собирать данные из скомпрометированных систем.
Точный метод доставки имплантата остается загадкой. Однако первоначальным триггером его выполнения является загрузчик шеллкода, который извлекает и загружает шеллкод из реестра Windows. Это, в свою очередь, инициирует выполнение собственного x64-компонента Deadglyph, известного как «Исполнитель».
Заражение Deadglyph может иметь катастрофические последствия для жертв
После активации Исполнитель приступает к загрузке компонента .NET, называемого «Оркестратор». Оркестратор устанавливает связь с сервером управления и контроля (C2) в ожидании дальнейших указаний. Это вредоносное ПО также использует ряд тактик уклонения, чтобы оставаться вне поля зрения, даже имея возможность самоудаления. Команды, полученные от сервера, ставятся в очередь на выполнение и делятся на три отдельные категории: задачи оркестратора, задачи исполнителя и задачи загрузки.
Задачи-исполнители предоставляют контроль над управлением бэкдором и выполнением дополнительных модулей. С другой стороны, задачи оркестратора управляют настройкой модулей сети и таймера и могут отменять ожидающие задачи.
Было определено несколько задач Executor, включая создание процессов, доступ к файлам и сбор системных метаданных. Модуль таймера периодически связывается с сервером C2 вместе с модулем сети, обеспечивая связь C2 через запросы HTTPS POST. Задачи загрузки, как следует из их названия, позволяют бэкдору передавать результаты команд и любые обнаруженные ошибки.
Deadglyph может похвастаться множеством механизмов защиты от обнаружения, включая непрерывный мониторинг системных процессов и реализацию рандомизированных сетевых шаблонов. Кроме того, он обладает возможностью самоудаления в определенных сценариях, чтобы снизить вероятность обнаружения.
Киберпреступная группа Stealth Falcon работает уже почти десять лет
Stealth Falcon, также известный как FruityArmor, впервые привлек внимание общественности в 2016 году, когда исследователи обнаружили его причастность к целенаправленным шпионским атакам на Ближнем Востоке. Эти нападения были направлены на журналистов, активистов и диссидентов в Объединенных Арабских Эмиратах (ОАЭ). Злоумышленники использовали тактику целевого фишинга, заманивая жертв обманными ссылками, встроенными в электронные письма, которые вели к документам, насыщенным макросами. Эти документы служили механизмами доставки специального имплантата, способного выполнять произвольные команды.
Последующее расследование, проведенное в 2019 году, выявило секретную операцию под названием Project Raven, в которой участвовала группа бывших специалистов американской разведки, завербованная фирмой по кибербезопасности DarkMatter. Их задачей было наблюдение за лицами, критикующими арабскую монархию. Примечательно, что Stealth Falcon и Project Raven кажутся одним и тем же, о чем свидетельствует их общая тактика и цели.
Со временем эта группа была связана с эксплуатацией уязвимостей нулевого дня в Windows, включая CVE-2018-8611 и CVE-2019-0797. Исследователи информационной безопасности отмечают, что в период с 2016 по 2019 год эта шпионская группа более широко использовала уязвимости нулевого дня, чем любая другая организация.
Примерно в тот же период было замечено, что злоумышленник использовал бэкдор, известный как Win32/StealthFalcon. Эта угроза использовала фоновую интеллектуальную службу передачи данных Windows (BITS) для связи командования и контроля (C2), предоставляя злоумышленникам полный контроль над скомпрометированными конечными точками.