Deadglyph Bakdörr
Cybersäkerhetsanalytiker upptäckte nyligen en avancerad bakdörr känd som "Deadglyph", som inte tidigare dokumenterats. Denna sofistikerade skadliga programvara användes av en hotaktör vid namn "Stealth Falcon" som en del av deras cyberspionagekampanj.
Det som skiljer Deadglyph är dess okonventionella arkitektur, som består av två samverkande komponenter. Den ena är en inbyggd x64-binär, medan den andra är en .NET-sammansättning. Denna avvikelse från normen är anmärkningsvärd eftersom de flesta skadliga program vanligtvis förlitar sig på ett enda programmeringsspråk för dess komponenter. Antagandet av detta tvåspråkiga tillvägagångssätt antyder möjligheten till separata utvecklingsinsatser för dessa två komponenter, med utnyttjande av de unika funktionerna hos varje programmeringsspråk.
Vidare misstänks det att avsiktlig användning av olika programmeringsspråk fungerar som en strategisk taktik för att hindra analysarbetet. Detta gör det avsevärt mer utmanande för säkerhetsforskare att navigera och felsöka skadlig programvara, inklusive ytterligare ett lager av komplexitet för dess upptäckt och begränsning.
Innehållsförteckning
Deadglyph Bakdörr visar ovanliga egenskaper
Deadglyph representerar det senaste tillskottet till Stealth Falcons arsenal, som används i en okänd statlig enhet i Mellanöstern. Det här hotfulla verktyget skiljer det från konventionella bakdörrar och tar emot kommandon från en server som kontrolleras av hotaktören. Dessa kommandon kommer i form av tilläggsmoduler, vilket ger Deadglyph möjligheten att initiera nya processer, komma åt filer och samla in data från komprometterade system.
Den exakta metoden för implantattillförsel förblir ett mysterium. Den första utlösaren för dess exekvering är dock en shellcode loader som hämtar och laddar shellcode från Windows-registret. Detta i sin tur initierar exekveringen av Deadglyphs ursprungliga x64-komponent, känd som "Executor".
En Deadglyph-infektion kan få katastrofala konsekvenser för offer
Executorn, när den väl har aktiverats, fortsätter att ladda en .NET-komponent som kallas "Orchestrator". Orchestrator upprättar kommunikation med Command-and-Control-servern (C2), i väntan på ytterligare direktiv. Den här skadliga programvaran använder också en rad undanflyktstaktiker för att hålla sig under radarn, även med förmågan att självavinstallera. Kommandon som tas emot från servern köas för exekvering och delas in i tre distinkta kategorier: Orchestrator-uppgifter, Executor-uppgifter och Upload-uppgifter.
Exekutoruppgifter ger kontroll över bakdörrens hantering och exekvering av ytterligare moduler. Orchestrator-uppgifter, å andra sidan, hanterar konfigurationen av nätverks- och timermodulerna och kan avbryta väntande uppgifter.
Flera exekutoruppgifter har identifierats, inklusive skapande av processer, filåtkomst och insamling av systemmetadata. Timermodulen kontaktar regelbundet C2-servern i samband med nätverksmodulen, vilket underlättar C2-kommunikation via HTTPS POST-förfrågningar. Ladda upp uppgifter, som namnet antyder, gör det möjligt för bakdörren att överföra resultatet av kommandon och eventuella fel.
Deadglyph har en rad antidetekteringsmekanismer, inklusive kontinuerlig övervakning av systemprocesser och implementering av randomiserade nätverksmönster. Dessutom har den förmågan att självavinstallera i vissa scenarier för att minska sannolikheten för upptäckt.
Stealth Falcon Cybercrime Group har funnits i nära ett decennium
Stealth Falcon, även känd som FruityArmor, kom först till allmänhetens uppmärksamhet 2016 när forskare avslöjade dess inblandning i riktade spionprogramattacker i Mellanöstern. Dessa attacker riktades mot journalister, aktivister och dissidenter i Förenade Arabemiraten (UAE). Hotaktörerna använde spear-phishing-taktik och lockade offer med vilseledande länkar inbäddade i e-postmeddelanden som ledde till makroladdade dokument. Dessa dokument fungerade som leveransmekanismer för ett anpassat implantat som kan utföra godtyckliga kommandon.
En efterföljande utredning 2019 avslöjade en hemlig operation vid namn Project Raven, som innehöll en grupp före detta amerikansk underrättelsetjänst som rekryterats av ett cybersäkerhetsföretag som heter DarkMatter. Deras uppdrag var att bedriva övervakning av individer som var kritiska till den arabiska monarkin. Anmärkningsvärt nog verkar Stealth Falcon och Project Raven vara en och samma, vilket framgår av deras delade taktik och mål.
Med tiden har denna grupp kopplats till utnyttjandet av nolldagssårbarheter i Windows, inklusive CVE-2018-8611 och CVE-2019-0797. Informationssäkerhetsforskare har noterat att mellan 2016 och 2019 använde denna spionagegrupp mer omfattande nolldagars sårbarheter än någon annan enhet.
Runt samma period observerades motståndaren använda en bakdörr känd som Win32/StealthFalcon. Detta hot utnyttjade Windows Background Intelligent Transfer Service (BITS) för Command-and-Control (C2)-kommunikation, vilket gav angriparna fullständig kontroll över komprometterade slutpunkter.
