Деадглипх Бацкдоор
Аналитичари за сајбер безбедност недавно су открили напредни бацкдоор познат као „Деадглипх“, који раније није документован. Овај софистицирани злонамерни софтвер користио је актер претњи по имену „Стеалтх Фалцон“ као део њихове кампање сајбер шпијунаже.
Оно што Деадглипх издваја је његова неконвенционална архитектура, која се састоји од две компоненте које сарађују. Један је изворни к64 бинарни фајл, док је други .НЕТ склоп. Ово одступање од норме је вредно пажње јер се већина малвера обично ослања на један програмски језик за своје компоненте. Усвајање овог двојезичког приступа сугерише могућност одвојених развојних напора за ове две компоненте, капитализујући јединствене могућности сваког програмског језика.
Штавише, сумња се да намерна употреба различитих програмских језика служи као стратешка тактика за ометање анализа. Ово чини знатно изазовнијим истраживачима безбедности навигацију и отклањање грешака у малверу, укључујући још један слој сложености за његово откривање и ублажавање.
Преглед садржаја
Деадглипх Бацкдоор приказује необичне карактеристике
Деадглипх представља најновији додатак арсеналу Стеалтх Фалцона, који се налази у неоткривеном владином ентитету на Блиском истоку. За разлику од конвенционалних бацкдоор-а, ова претећа алатка прима команде са сервера који контролише актер претње. Ове команде стижу у облику додатних модула, дајући Деадглипху могућност да покрене нове процесе, приступи датотекама и прикупи податке из компромитованих система.
Тачан начин испоруке имплантата остаје мистерија. Међутим, почетни окидач за његово извршење је учитавач схеллцоде-а који преузима и учитава схеллцоде из Виндовс регистра. Ово, заузврат, покреће извршавање Деадглипхове изворне к64 компоненте, познате као „Екецутор“.
Деадглипх инфекција може имати катастрофалне последице за жртве
Екецутор, након што је активиран, наставља са учитавањем .НЕТ компоненте под називом „Орцхестратор“. Оркестратор успоставља комуникацију са сервером за команду и контролу (Ц2), чекајући даље директиве. Овај злонамерни софтвер такође користи низ тактика избегавања да остане испод радара, чак има могућност самодеинсталирања. Команде примљене са сервера се стављају у ред за извршење, падају у три различите категорије: задаци оркестратора, задаци извршитеља и задаци отпремања.
Задаци извршиоца дају контролу над управљањем бацкдоор-а и извршавањем додатних модула. Задаци оркестратора, с друге стране, управљају конфигурацијом модула мреже и тајмера и могу отказати задатке на чекању.
Идентификовано је неколико задатака Екецутор-а, укључујући креирање процеса, приступ фајловима и прикупљање системских метаподатака. Модул тајмера повремено контактира Ц2 сервер у вези са мрежним модулом, олакшавајући Ц2 комуникацију путем ХТТПС ПОСТ захтева. Задаци отпремања, као што им име говори, омогућавају бацкдоор-у да пренесе резултате команди и евентуалне грешке.
Деадглипх се може похвалити низом механизама против откривања, укључујући континуирано праћење системских процеса и имплементацију насумичних мрежних образаца. Штавише, поседује могућност самодеинсталирања у одређеним сценаријима како би се смањила вероватноћа откривања.
Група за кибернетички криминал Стеалтх Фалцон ради скоро деценију
Стеалтх Фалцон, такође познат као ФруитиАрмор, првобитно је привукао пажњу јавности 2016. године када су истраживачи открили његову умешаност у циљане нападе шпијунског софтвера на Блиском истоку. Ови напади су били усмерени на новинаре, активисте и дисиденте у Уједињеним Арапским Емиратима (УАЕ). Актери претњи су користили тактику крађе идентитета, привлачећи жртве обмањујућим везама уграђеним у е-поруке које су довеле до докумената напуњених макроима. Ови документи су служили као механизми испоруке за прилагођени имплант способан да извршава произвољне команде.
Накнадна истрага 2019. године открила је тајну операцију под називом Пројекат Гавран, у којој је учествовала група бивших америчких обавештајних професионалаца које је регрутовала фирма за сајбер безбедност под називом ДаркМаттер. Њихова мисија је била да спроводе надзор над појединцима који су критични према арапској монархији. Занимљиво је да су Стеалтх Фалцон и Пројецт Равен једно те исто, о чему сведоче њихове заједничке тактике и мете.
Временом је ова група повезана са искоришћавањем рањивости нултог дана у Виндовс-у, укључујући ЦВЕ-2018-8611 и ЦВЕ-2019-0797. Истраживачи информационе безбедности су приметили да је ова шпијунска група у периоду од 2016. до 2019. више користила рањивост нултог дана него било који други ентитет.
Отприлике у истом периоду, противник је примећен како користи бацкдоор познат као Вин32/СтеалтхФалцон. Ова претња је користила Виндовс позадинску интелигентну услугу преноса (БИТС) за комуникацију са командом и контролом (Ц2), дајући нападачима потпуну контролу над компромитованим крајњим тачкама.
