డెడ్‌గ్లిఫ్ బ్యాక్‌డోర్

సైబర్‌ సెక్యూరిటీ విశ్లేషకులు ఇటీవల "డెడ్‌గ్లిఫ్" అని పిలువబడే అధునాతన బ్యాక్‌డోర్‌ను కనుగొన్నారు, ఇది ఇంతకు ముందు డాక్యుమెంట్ చేయబడదు. వారి సైబర్ గూఢచర్య ప్రచారంలో భాగంగా "స్టెల్త్ ఫాల్కన్" అనే బెదిరింపు నటుడు ఈ అధునాతన మాల్వేర్‌ను ఉపయోగించారు.

డెడ్‌గ్లిఫ్‌ను వేరుగా ఉంచేది దాని సాంప్రదాయేతర నిర్మాణం, రెండు సహకార భాగాలను కలిగి ఉంటుంది. ఒకటి స్థానిక x64 బైనరీ, మరొకటి .NET అసెంబ్లీ. కట్టుబాటు నుండి ఈ నిష్క్రమణ గమనించదగినది ఎందుకంటే చాలా మాల్వేర్ సాధారణంగా దాని భాగాల కోసం ఒకే ప్రోగ్రామింగ్ భాషపై ఆధారపడుతుంది. ఈ ద్వంద్వ-భాషా విధానాన్ని అవలంబించడం ప్రతి ప్రోగ్రామింగ్ లాంగ్వేజ్ యొక్క ప్రత్యేక సామర్థ్యాలను ఉపయోగించుకుని, ఈ రెండు భాగాల కోసం వేర్వేరు అభివృద్ధి ప్రయత్నాల అవకాశాన్ని సూచిస్తుంది.

ఇంకా, వివిధ ప్రోగ్రామింగ్ భాషలను ఉద్దేశపూర్వకంగా ఉపయోగించడం అనేది విశ్లేషణ ప్రయత్నాలకు ఆటంకం కలిగించే వ్యూహాత్మక వ్యూహంగా ఉపయోగపడుతుందని అనుమానించబడింది. ఇది మాల్వేర్‌ను నావిగేట్ చేయడం మరియు డీబగ్ చేయడం భద్రతా పరిశోధకులకు మరింత సవాలుగా మారుతుంది, దాని గుర్తింపు మరియు ఉపశమనానికి మరింత సంక్లిష్టతతో సహా.

డెడ్‌గ్లిఫ్ బ్యాక్‌డోర్ అసాధారణ లక్షణాలను ప్రదర్శిస్తుంది

డెడ్‌గ్లిఫ్ స్టెల్త్ ఫాల్కన్ ఆయుధాగారానికి తాజా చేరికను సూచిస్తుంది, ఇది మిడిల్ ఈస్ట్‌లోని బహిర్గతం చేయని ప్రభుత్వ సంస్థలో ఉంది. సాంప్రదాయ బ్యాక్‌డోర్‌ల నుండి వేరుగా ఉంచడం, ఈ బెదిరింపు సాధనం బెదిరింపు నటుడిచే నియంత్రించబడే సర్వర్ నుండి ఆదేశాలను అందుకుంటుంది. ఈ ఆదేశాలు సప్లిమెంటరీ మాడ్యూల్స్ రూపంలో వస్తాయి, కొత్త ప్రక్రియలను ప్రారంభించడం, ఫైల్‌లను యాక్సెస్ చేయడం మరియు రాజీపడిన సిస్టమ్‌ల నుండి డేటాను సేకరించడం వంటి సామర్థ్యాన్ని డెడ్‌గ్లిఫ్‌కు మంజూరు చేస్తుంది.

ఇంప్లాంట్ డెలివరీ యొక్క ఖచ్చితమైన పద్ధతి మిస్టరీగా మిగిలిపోయింది. అయినప్పటికీ, దాని అమలుకు ప్రారంభ ట్రిగ్గర్ షెల్‌కోడ్ లోడర్, ఇది విండోస్ రిజిస్ట్రీ నుండి షెల్‌కోడ్‌ను తిరిగి పొందుతుంది మరియు లోడ్ చేస్తుంది. ఇది క్రమంగా, డెడ్‌గ్లిఫ్ యొక్క స్థానిక x64 భాగం యొక్క అమలును ప్రారంభిస్తుంది, దీనిని "ఎగ్జిక్యూటర్" అని పిలుస్తారు.

డెడ్‌గ్లిఫ్ ఇన్ఫెక్షన్ బాధితులకు వినాశకరమైన పరిణామాలను కలిగిస్తుంది

ఎగ్జిక్యూటర్, యాక్టివేట్ అయిన తర్వాత, "ఆర్కెస్ట్రేటర్" అని పిలువబడే .NET కాంపోనెంట్‌ను లోడ్ చేయడానికి ముందుకు సాగుతుంది. ఆర్కెస్ట్రేటర్ తదుపరి ఆదేశాల కోసం ఎదురుచూస్తున్న కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది. ఈ మాల్వేర్ స్వీయ-అన్‌ఇన్‌స్టాల్ చేయగల సామర్థ్యాన్ని కూడా కలిగి ఉండి, రాడార్‌కు దిగువన ఉండేందుకు ఎగవేత వ్యూహాల శ్రేణిని కూడా ఉపయోగిస్తుంది. సర్వర్ నుండి స్వీకరించబడిన ఆదేశాలు అమలు కోసం క్యూలో ఉంటాయి, ఇవి మూడు విభిన్న వర్గాలలోకి వస్తాయి: ఆర్కెస్ట్రేటర్ టాస్క్‌లు, ఎగ్జిక్యూటర్ టాస్క్‌లు మరియు అప్‌లోడ్ టాస్క్‌లు.

ఎగ్జిక్యూటర్ టాస్క్‌లు బ్యాక్‌డోర్ నిర్వహణ మరియు అదనపు మాడ్యూళ్ల అమలుపై నియంత్రణను మంజూరు చేస్తాయి. ఆర్కెస్ట్రేటర్ టాస్క్‌లు, మరోవైపు, నెట్‌వర్క్ మరియు టైమర్ మాడ్యూల్‌ల కాన్ఫిగరేషన్‌ను నిర్వహిస్తాయి మరియు పెండింగ్‌లో ఉన్న పనులను రద్దు చేయగలవు.

ప్రక్రియల సృష్టి, ఫైల్ యాక్సెస్ మరియు సిస్టమ్ మెటాడేటా సేకరణతో సహా అనేక ఎగ్జిక్యూటర్ పనులు గుర్తించబడ్డాయి. టైమర్ మాడ్యూల్ క్రమానుగతంగా నెట్‌వర్క్ మాడ్యూల్‌తో కలిసి C2 సర్వర్‌ను సంప్రదిస్తుంది, HTTPS POST అభ్యర్థనల ద్వారా C2 కమ్యూనికేషన్‌ను సులభతరం చేస్తుంది. టాస్క్‌లను అప్‌లోడ్ చేయండి, వాటి పేరు సూచించినట్లుగా, కమాండ్‌ల ఫలితాలను మరియు ఏవైనా ఎదురైన లోపాలను ప్రసారం చేయడానికి బ్యాక్‌డోర్‌ను ప్రారంభించండి.

డెడ్‌గ్లిఫ్ యాంటీ-డిటెక్షన్ మెకానిజమ్‌ల శ్రేణిని కలిగి ఉంది, సిస్టమ్ ప్రక్రియల నిరంతర పర్యవేక్షణ మరియు యాదృచ్ఛిక నెట్‌వర్క్ నమూనాల అమలుతో సహా. ఇంకా, ఇది గుర్తించే సంభావ్యతను తగ్గించడానికి కొన్ని సందర్భాల్లో స్వీయ-అన్‌ఇన్‌స్టాల్ చేయగల సామర్థ్యాన్ని కలిగి ఉంది.

స్టెల్త్ ఫాల్కన్ సైబర్ క్రైమ్ గ్రూప్ దాదాపు ఒక దశాబ్దం పాటు పనిచేస్తోంది

FruityArmor అని కూడా పిలువబడే స్టెల్త్ ఫాల్కన్, 2016లో మధ్యప్రాచ్యంలోని లక్షిత స్పైవేర్ దాడుల్లో దాని ప్రమేయాన్ని పరిశోధకులు వెలికితీసినప్పుడు ప్రజల దృష్టికి వచ్చింది. యునైటెడ్ అరబ్ ఎమిరేట్స్ (UAE)లోని జర్నలిస్టులు, కార్యకర్తలు మరియు అసమ్మతివాదులపై ఈ దాడులు జరిగాయి. బెదిరింపు నటులు స్పియర్-ఫిషింగ్ వ్యూహాలను ఉపయోగించారు, స్థూల-లాడెన్ డాక్యుమెంట్‌లకు దారితీసిన ఇమెయిల్‌లలో పొందుపరిచిన మోసపూరిత లింక్‌లతో బాధితులను ప్రలోభపెట్టారు. ఈ పత్రాలు ఏకపక్ష ఆదేశాలను అమలు చేయగల అనుకూల ఇంప్లాంట్ కోసం డెలివరీ మెకానిజమ్‌లుగా పనిచేశాయి.

2019లో జరిపిన తదుపరి పరిశోధన ప్రాజెక్ట్ రావెన్ అనే పేరుతో ఒక రహస్య ఆపరేషన్‌ను ఆవిష్కరించింది, ఇందులో డార్క్‌మాటర్ అనే సైబర్‌ సెక్యూరిటీ సంస్థ నియమించిన మాజీ US ఇంటెలిజెన్స్ నిపుణుల బృందాన్ని కలిగి ఉంది. అరబ్ రాచరికాన్ని విమర్శించే వ్యక్తులపై నిఘా నిర్వహించడం వారి లక్ష్యం. విశేషమేమిటంటే, స్టెల్త్ ఫాల్కన్ మరియు ప్రాజెక్ట్ రావెన్ ఒకేలా కనిపిస్తారు, వారి భాగస్వామ్య వ్యూహాలు మరియు లక్ష్యాల ద్వారా రుజువు చేయబడింది.

కాలక్రమేణా, ఈ సమూహం CVE-2018-8611 మరియు CVE-2019-0797తో సహా Windowsలో జీరో-డే దుర్బలత్వాల దోపిడీకి లింక్ చేయబడింది. 2016 మరియు 2019 మధ్యకాలంలో, ఈ గూఢచర్య సమూహం ఏ ఇతర సంస్థ కంటే జీరో-డే దుర్బలత్వాలను విస్తృతంగా ఉపయోగించిందని సమాచార భద్రతా పరిశోధకులు గుర్తించారు.

ఇదే కాలంలో, విరోధి Win32/StealthFalcon అని పిలువబడే బ్యాక్‌డోర్‌ను ఉపయోగించడం గమనించబడింది. ఈ ముప్పు కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌ల కోసం Windows బ్యాక్‌గ్రౌండ్ ఇంటెలిజెంట్ ట్రాన్స్‌ఫర్ సర్వీస్ (BITS)ని ప్రభావితం చేసింది, దాడి చేసేవారికి రాజీపడిన ముగింపు పాయింట్‌లపై పూర్తి నియంత్రణను ఇస్తుంది.