Deadglyph Backdoor
Analistët e sigurisë kibernetike zbuluan kohët e fundit një backdoor të avancuar të njohur si "Deadglyph", i cili nuk ishte dokumentuar më parë. Ky malware i sofistikuar u përdor nga një aktor kërcënimi i quajtur "Stealth Falcon" si pjesë e fushatës së tyre të spiunazhit kibernetik.
Ajo që e veçon Deadglyph është arkitektura e tij jokonvencionale, e përbërë nga dy komponentë bashkëpunues. Njëra është një binar origjinal x64, ndërsa tjetra është një asamble .NET. Ky largim nga norma është i rëndësishëm sepse shumica e malware zakonisht mbështeten në një gjuhë të vetme programimi për komponentët e tij. Miratimi i kësaj qasjeje dygjuhëshe sugjeron mundësinë e përpjekjeve të veçanta zhvillimore për këta dy komponentë, duke përfituar nga aftësitë unike të secilës gjuhë programimi.
Për më tepër, dyshohet se përdorimi i qëllimshëm i gjuhëve të ndryshme programuese shërben si një taktikë strategjike për të penguar përpjekjet e analizës. Kjo e bën shumë më sfiduese për studiuesit e sigurisë që të lundrojnë dhe korrigjojnë malware-in, duke përfshirë një shtresë më shumë kompleksiteti për zbulimin dhe zbutjen e tij.
Tabela e Përmbajtjes
Deadglyph Backdoor Shfaq karakteristika të pazakonta
Deadglyph përfaqëson shtimin më të fundit të arsenalit të Stealth Falcon, i përdorur në një entitet qeveritar të pazbuluar në Lindjen e Mesme. Duke e veçuar atë nga dyert e pasme konvencionale, ky mjet kërcënues merr komanda nga një server i kontrolluar nga aktori i kërcënimit. Këto komanda vijnë në formën e moduleve shtesë, duke i dhënë Deadglyph aftësinë për të inicuar procese të reja, për të hyrë në skedarë dhe për të mbledhur të dhëna nga sistemet e komprometuara.
Metoda e saktë e vendosjes së implantit mbetet një mister. Megjithatë, nxitësi fillestar për ekzekutimin e tij është një ngarkues shellcode që merr dhe ngarkon shellcode nga Regjistri i Windows. Kjo, nga ana tjetër, fillon ekzekutimin e komponentit vendas x64 të Deadglyph, i njohur si "Ekzekutuesi".
Infeksioni Deadglyph mund të ketë pasoja katastrofike për viktimat
Ekzekutuesi, pasi aktivizohet, vazhdon të ngarkojë një komponent .NET të quajtur "Orkestratori". Orkestratori vendos komunikim me serverin Command-and-Control (C2), në pritje të direktivave të mëtejshme. Ky malware përdor gjithashtu një sërë taktikash evazioni për të qëndruar poshtë radarit, madje duke zotëruar aftësinë për të vetë-çinstaluar. Komandat e marra nga serveri janë në radhë për ekzekutim, duke u ndarë në tre kategori të dallueshme: detyrat e orkestruesit, detyrat e ekzekutuesit dhe detyrat e ngarkimit.
Detyrat e ekzekutuesit japin kontroll mbi menaxhimin e backdoor dhe ekzekutimin e moduleve shtesë. Detyrat e orkestruesit, nga ana tjetër, menaxhojnë konfigurimin e moduleve të Rrjetit dhe Timer dhe mund të anulojnë detyrat në pritje.
Janë identifikuar disa detyra të Ekzekutuesit, duke përfshirë krijimin e proceseve, aksesin në skedarë dhe mbledhjen e meta të dhënave të sistemit. Moduli Timer kontakton periodikisht serverin C2 në lidhje me modulin e Rrjetit, duke lehtësuar komunikimin C2 nëpërmjet kërkesave HTTPS POST. Detyrat e ngarkimit, siç nënkupton emri i tyre, mundësojnë që porta e pasme të transmetojë rezultatet e komandave dhe çdo gabim të hasur.
Deadglyph krenohet me një sërë mekanizmash kundër zbulimit, duke përfshirë monitorimin e vazhdueshëm të proceseve të sistemit dhe zbatimin e modeleve të rrjetit të rastësishëm. Për më tepër, ai posedon aftësinë për të vetë-çinstaluar në disa skenarë për të zvogëluar gjasat e zbulimit.
Grupi i krimit kibernetik Stealth Falcon ka funksionuar për afër një dekadë
Stealth Falcon, i njohur gjithashtu si FruityArmor, fillimisht erdhi në vëmendjen e publikut në vitin 2016 kur studiuesit zbuluan përfshirjen e tij në sulmet e synuara spyware brenda Lindjes së Mesme. Këto sulme iu drejtuan gazetarëve, aktivistëve dhe disidentëve në Emiratet e Bashkuara Arabe (EBA). Aktorët e kërcënimit përdorën taktika spear-phishing, duke joshur viktimat me lidhje mashtruese të ngulitura në email që çuan në dokumente makro-ngarkuar. Këto dokumente shërbyen si mekanizma shpërndarjeje për një implant me porosi të aftë për të ekzekutuar komanda arbitrare.
Një hetim i mëvonshëm në vitin 2019 zbuloi një operacion të fshehtë të quajtur Project Raven, i cili paraqiste një grup ish-profesionistësh të inteligjencës amerikane të rekrutuar nga një firmë e sigurisë kibernetike e quajtur DarkMatter. Misioni i tyre ishte të kryenin mbikëqyrje ndaj individëve kritikë ndaj monarkisë arabe. Çuditërisht, Stealth Falcon dhe Project Raven duket se janë një dhe i njëjti, siç dëshmohet nga taktikat dhe objektivat e tyre të përbashkët.
Me kalimin e kohës, ky grup është lidhur me shfrytëzimin e dobësive të ditës zero në Windows, duke përfshirë CVE-2018-8611 dhe CVE-2019-0797. Studiuesit e sigurisë së informacionit kanë vënë në dukje se, midis 2016 dhe 2019, ky grup spiunazhi përdori më gjerësisht dobësitë e ditës zero se çdo ent tjetër.
Rreth të njëjtës periudhë, kundërshtari u vu re duke përdorur një derë të pasme të njohur si Win32/StealthFalcon. Ky kërcënim përdori Shërbimin Inteligjent të Transferimit të Sfondit të Windows (BITS) për komunikimet Command-and-Control (C2), duke u dhënë sulmuesve kontroll të plotë mbi pikat fundore të komprometuara.
