Deadglyph Backdoor
Analitiki kibernetske varnosti so pred kratkim odkrili napredna stranska vrata, znana kot "Deadglyph", ki prej niso bila dokumentirana. To sofisticirano zlonamerno programsko opremo je uporabil akter grožnje z imenom "Stealth Falcon" kot del svoje kampanje kibernetskega vohunjenja.
Kar ločuje Deadglyph, je njegova nekonvencionalna arhitektura, sestavljena iz dveh sodelujočih komponent. Ena je izvirna binarna datoteka x64, druga pa je sklop .NET. Ta odmik od norme je omembe vreden, ker se večina zlonamerne programske opreme za svoje komponente običajno zanaša na en sam programski jezik. Sprejetje tega dvojnega jezikovnega pristopa nakazuje možnost ločenih razvojnih prizadevanj za ti dve komponenti, pri čemer se izkoristijo edinstvene zmogljivosti vsakega programskega jezika.
Poleg tega obstaja sum, da namerna uporaba različnih programskih jezikov služi kot strateška taktika za oviranje analitičnih prizadevanj. Zaradi tega je za varnostne raziskovalce veliko večji izziv krmarjenje in odpravljanje napak v zlonamerni programski opremi, vključno z dodatno plastjo zapletenosti pri njenem odkrivanju in ublažitvi.
Kazalo
Deadglyph Backdoor prikazuje nenavadne lastnosti
Deadglyph predstavlja najnovejši dodatek k arzenalu Stealth Falcon, ki ga uporablja nerazkrita vladna enota na Bližnjem vzhodu. To orodje za grožnje, ki ga loči od običajnih backdoorjev, prejema ukaze iz strežnika, ki ga nadzoruje akter grožnje. Ti ukazi so prispeli v obliki dodatnih modulov, ki Deadglyphu omogočajo zagon novih procesov, dostop do datotek in zbiranje podatkov iz ogroženih sistemov.
Natančen način vstavitve implantata ostaja skrivnost. Vendar pa je začetni sprožilec za njegovo izvajanje nalagalnik lupinske kode, ki pridobi in naloži lupinsko kodo iz registra Windows. To pa sproži izvajanje Deadglyphove izvorne komponente x64, znane kot "Executor".
Okužba z mrtvim glifom ima lahko katastrofalne posledice za žrtve
Ko je Executor aktiviran, nadaljuje z nalaganjem komponente .NET, imenovane "Orchestrator". Orkestrator vzpostavi komunikacijo s strežnikom za vodenje in nadzor (C2) in čaka na nadaljnja navodila. Ta zlonamerna programska oprema uporablja tudi vrsto taktik izogibanja, da ostane pod radarjem, in ima celo možnost samoodstranjevanja. Ukazi, prejeti s strežnika, so postavljeni v čakalno vrsto za izvedbo in spadajo v tri različne kategorije: naloge Orchestrator, naloge Executor in naloge Upload.
Izvajalske naloge omogočajo nadzor nad upravljanjem zakulisnih vrat in izvajanjem dodatnih modulov. Po drugi strani naloge Orchestrator upravljajo konfiguracijo modulov Network in Timer ter lahko prekličejo čakajoče naloge.
Ugotovljenih je bilo več nalog izvajalca, vključno z ustvarjanjem procesov, dostopom do datotek in zbiranjem sistemskih metapodatkov. Modul Timer občasno vzpostavi stik s strežnikom C2 v povezavi z omrežnim modulom, kar olajša komunikacijo C2 prek zahtev HTTPS POST. Naloge nalaganja, kot pove njihovo ime, omogočajo backdoorju prenos rezultatov ukazov in morebitnih odkritih napak.
Deadglyph se ponaša z nizom mehanizmov proti zaznavanju, vključno z nenehnim spremljanjem sistemskih procesov in izvajanjem naključnih omrežnih vzorcev. Poleg tega ima zmožnost samodejne odstranitve v določenih scenarijih, da zmanjša verjetnost odkrivanja.
Skupina za kibernetski kriminal Stealth Falcon deluje že skoraj desetletje
Stealth Falcon, znan tudi kot FruityArmor, je sprva pritegnil pozornost javnosti leta 2016, ko so raziskovalci odkrili njegovo vpletenost v ciljne napade vohunske programske opreme na Bližnjem vzhodu. Ti napadi so bili usmerjeni na novinarje, aktiviste in disidente v Združenih arabskih emiratih (ZAE). Akterji groženj so uporabili taktike lažnega predstavljanja, pri čemer so žrtve premamili z zavajajočimi povezavami, vdelanimi v e-poštna sporočila, ki so vodile do makro obremenjenih dokumentov. Ti dokumenti so služili kot mehanizmi dostave za vsadek po meri, ki je zmožen izvajati poljubne ukaze.
Kasnejša preiskava leta 2019 je razkrila tajno operacijo z imenom Project Raven, v kateri je sodelovala skupina nekdanjih ameriških obveščevalnih strokovnjakov, ki jih je rekrutiralo podjetje za kibernetsko varnost, imenovano DarkMatter. Njihova naloga je bila izvajati nadzor nad posamezniki, ki so kritični do arabske monarhije. Zanimivo je, da se zdi, da sta Stealth Falcon in Project Raven eno in isto, kar dokazujejo njune skupne taktike in tarče.
Sčasoma je bila ta skupina povezana z izkoriščanjem ranljivosti ničelnega dne v sistemu Windows, vključno s CVE-2018-8611 in CVE-2019-0797. Raziskovalci informacijske varnosti so ugotovili, da je med letoma 2016 in 2019 ta vohunska skupina obsežneje uporabljala ranljivosti ničelnega dne kot kateri koli drug subjekt.
Približno v istem obdobju so opazili, da nasprotnik uporablja stranska vrata, znana kot Win32/StealthFalcon. Ta grožnja je izkoristila storitev Windows Background Intelligent Transfer Service (BITS) za komunikacije ukazov in nadzora (C2), kar je napadalcem omogočilo popoln nadzor nad ogroženimi končnimi točkami.
