Deadglyph Backdoor
Analytici kybernetickej bezpečnosti nedávno odhalili pokročilé zadné vrátka známe ako "Deadglyph", ktoré predtým neboli zdokumentované. Tento sofistikovaný malvér použil aktér hrozieb s názvom „Stealth Falcon“ v rámci svojej kampane kybernetickej špionáže.
To, čo Deadglyph odlišuje, je jeho nekonvenčná architektúra pozostávajúca z dvoch spolupracujúcich komponentov. Jeden je natívny x64 binárny, zatiaľ čo druhý je zostava .NET. Tento odklon od normy je pozoruhodný, pretože väčšina malvéru sa pre svoje komponenty zvyčajne spolieha na jeden programovací jazyk. Prijatie tohto dvojjazyčného prístupu naznačuje možnosť samostatného vývoja týchto dvoch komponentov, pričom sa využívajú jedinečné schopnosti každého programovacieho jazyka.
Okrem toho existuje podozrenie, že zámerné používanie rôznych programovacích jazykov slúži ako strategická taktika na prekážku analytického úsilia. Pre výskumníkov v oblasti bezpečnosti je preto podstatne náročnejšie navigovať a ladiť malvér, vrátane ďalšej úrovne zložitosti jeho detekcie a zmiernenia.
Obsah
Deadglyph Backdoor zobrazuje nezvyčajné vlastnosti
Deadglyph predstavuje najnovší prírastok do arzenálu Stealth Falcon, ktorý má v rukách neznáma vládna entita na Blízkom východe. Tento hrozivý nástroj, ktorý ho odlišuje od bežných zadných vrátok, prijíma príkazy zo servera ovládaného aktérom hrozby. Tieto príkazy prichádzajú vo forme doplnkových modulov, ktoré poskytujú Deadglyphu schopnosť spúšťať nové procesy, pristupovať k súborom a získavať dáta z kompromitovaných systémov.
Presný spôsob podania implantátu zostáva záhadou. Počiatočným spúšťačom jeho vykonania je však zavádzač shell kódu, ktorý získava a načíta kód shellu z registra Windows. To zase spustí spustenie natívneho x64 komponentu Deadglyph, známeho ako „Executor“.
Deadglyphová infekcia môže mať pre obete katastrofálne následky
Po aktivácii Executor pokračuje v načítaní komponentu .NET s názvom „Orchestrator“. Orchestrator nadviaže komunikáciu so serverom Command-and-Control (C2) a čaká na ďalšie pokyny. Tento malvér tiež využíva sériu únikových taktík, aby zostal pod radarom, dokonca má schopnosť samo sa odinštalovať. Príkazy prijaté zo servera sú zaradené do frontu na vykonanie a spadajú do troch odlišných kategórií: úlohy správcu, úlohy vykonávateľa a úlohy nahrávania.
Úlohy vykonávateľa poskytujú kontrolu nad správou zadných vrátok a vykonávaním ďalších modulov. Úlohy Orchestrator na druhej strane spravujú konfiguráciu modulov Network a Timer a môžu zrušiť čakajúce úlohy.
Bolo identifikovaných niekoľko úloh vykonávateľa, vrátane vytvárania procesov, prístupu k súborom a zhromažďovania systémových metadát. Modul časovača pravidelne kontaktuje server C2 v spojení so sieťovým modulom, čím uľahčuje komunikáciu C2 prostredníctvom požiadaviek HTTPS POST. Úlohy nahrávania, ako už názov napovedá, umožňujú backdooru prenášať výsledky príkazov a všetky zistené chyby.
Deadglyph sa môže pochváliť radom antidetekčných mechanizmov vrátane nepretržitého monitorovania systémových procesov a implementácie náhodných sieťových vzorov. Okrem toho má schopnosť samoodinštalovať sa v určitých scenároch, aby sa znížila pravdepodobnosť odhalenia.
Skupina Stealth Falcon Cybercrime Group funguje už takmer desaťročie
Stealth Falcon, tiež známy ako FruityArmor, sa pôvodne dostal do pozornosti verejnosti v roku 2016, keď výskumníci odhalili jeho účasť na cielených spywarových útokoch na Blízkom východe. Tieto útoky boli namierené proti novinárom, aktivistom a disidentom v Spojených arabských emirátoch (SAE). Aktéri hrozieb použili taktiku spear-phishingu a lákali obete klamlivými odkazmi vloženými do e-mailov, ktoré viedli k dokumentom naplneným makrom. Tieto dokumenty slúžili ako doručovacie mechanizmy pre vlastný implantát schopný vykonávať ľubovoľné príkazy.
Následné vyšetrovanie v roku 2019 odhalilo skrytú operáciu s názvom Project Raven, ktorá zahŕňala skupinu bývalých amerických spravodajských profesionálov najatých firmou DarkMatter zaoberajúcou sa kybernetickou bezpečnosťou. Ich úlohou bolo vykonávať dohľad nad jednotlivcami kritickými voči arabskej monarchii. Je pozoruhodné, že Stealth Falcon a Project Raven sa zdajú byť jedno a to isté, čo dokazujú ich spoločné taktiky a ciele.
Postupom času bola táto skupina spojená so zneužívaním zero-day zraniteľností v systéme Windows, vrátane CVE-2018-8611 a CVE-2019-0797. Výskumníci v oblasti informačnej bezpečnosti poznamenali, že v rokoch 2016 až 2019 táto špionážna skupina vo väčšej miere využívala zraniteľnosti zero-day ako ktorýkoľvek iný subjekt.
Približne v tom istom období bol protivník pozorovaný pomocou zadného vrátka známeho ako Win32/StealthFalcon. Táto hrozba využila službu BITS (Background Intelligent Transfer Service) na komunikáciu príkazov a riadenia (C2), ktorá útočníkom poskytla úplnú kontrolu nad napadnutými koncovými bodmi.
