డెడ్గ్లిఫ్ బ్యాక్డోర్
సైబర్ సెక్యూరిటీ విశ్లేషకులు ఇటీవల "డెడ్గ్లిఫ్" అని పిలువబడే అధునాతన బ్యాక్డోర్ను కనుగొన్నారు, ఇది ఇంతకు ముందు డాక్యుమెంట్ చేయబడదు. వారి సైబర్ గూఢచర్య ప్రచారంలో భాగంగా "స్టెల్త్ ఫాల్కన్" అనే బెదిరింపు నటుడు ఈ అధునాతన మాల్వేర్ను ఉపయోగించారు.
డెడ్గ్లిఫ్ను వేరుగా ఉంచేది దాని సాంప్రదాయేతర నిర్మాణం, రెండు సహకార భాగాలను కలిగి ఉంటుంది. ఒకటి స్థానిక x64 బైనరీ, మరొకటి .NET అసెంబ్లీ. కట్టుబాటు నుండి ఈ నిష్క్రమణ గమనించదగినది ఎందుకంటే చాలా మాల్వేర్ సాధారణంగా దాని భాగాల కోసం ఒకే ప్రోగ్రామింగ్ భాషపై ఆధారపడుతుంది. ఈ ద్వంద్వ-భాషా విధానాన్ని అవలంబించడం ప్రతి ప్రోగ్రామింగ్ లాంగ్వేజ్ యొక్క ప్రత్యేక సామర్థ్యాలను ఉపయోగించుకుని, ఈ రెండు భాగాల కోసం వేర్వేరు అభివృద్ధి ప్రయత్నాల అవకాశాన్ని సూచిస్తుంది.
ఇంకా, వివిధ ప్రోగ్రామింగ్ భాషలను ఉద్దేశపూర్వకంగా ఉపయోగించడం అనేది విశ్లేషణ ప్రయత్నాలకు ఆటంకం కలిగించే వ్యూహాత్మక వ్యూహంగా ఉపయోగపడుతుందని అనుమానించబడింది. ఇది మాల్వేర్ను నావిగేట్ చేయడం మరియు డీబగ్ చేయడం భద్రతా పరిశోధకులకు మరింత సవాలుగా మారుతుంది, దాని గుర్తింపు మరియు ఉపశమనానికి మరింత సంక్లిష్టతతో సహా.
విషయ సూచిక
డెడ్గ్లిఫ్ బ్యాక్డోర్ అసాధారణ లక్షణాలను ప్రదర్శిస్తుంది
డెడ్గ్లిఫ్ స్టెల్త్ ఫాల్కన్ ఆయుధాగారానికి తాజా చేరికను సూచిస్తుంది, ఇది మిడిల్ ఈస్ట్లోని బహిర్గతం చేయని ప్రభుత్వ సంస్థలో ఉంది. సాంప్రదాయ బ్యాక్డోర్ల నుండి వేరుగా ఉంచడం, ఈ బెదిరింపు సాధనం బెదిరింపు నటుడిచే నియంత్రించబడే సర్వర్ నుండి ఆదేశాలను అందుకుంటుంది. ఈ ఆదేశాలు సప్లిమెంటరీ మాడ్యూల్స్ రూపంలో వస్తాయి, కొత్త ప్రక్రియలను ప్రారంభించడం, ఫైల్లను యాక్సెస్ చేయడం మరియు రాజీపడిన సిస్టమ్ల నుండి డేటాను సేకరించడం వంటి సామర్థ్యాన్ని డెడ్గ్లిఫ్కు మంజూరు చేస్తుంది.
ఇంప్లాంట్ డెలివరీ యొక్క ఖచ్చితమైన పద్ధతి మిస్టరీగా మిగిలిపోయింది. అయినప్పటికీ, దాని అమలుకు ప్రారంభ ట్రిగ్గర్ షెల్కోడ్ లోడర్, ఇది విండోస్ రిజిస్ట్రీ నుండి షెల్కోడ్ను తిరిగి పొందుతుంది మరియు లోడ్ చేస్తుంది. ఇది క్రమంగా, డెడ్గ్లిఫ్ యొక్క స్థానిక x64 భాగం యొక్క అమలును ప్రారంభిస్తుంది, దీనిని "ఎగ్జిక్యూటర్" అని పిలుస్తారు.
డెడ్గ్లిఫ్ ఇన్ఫెక్షన్ బాధితులకు వినాశకరమైన పరిణామాలను కలిగిస్తుంది
ఎగ్జిక్యూటర్, యాక్టివేట్ అయిన తర్వాత, "ఆర్కెస్ట్రేటర్" అని పిలువబడే .NET కాంపోనెంట్ను లోడ్ చేయడానికి ముందుకు సాగుతుంది. ఆర్కెస్ట్రేటర్ తదుపరి ఆదేశాల కోసం ఎదురుచూస్తున్న కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో కమ్యూనికేషన్ను ఏర్పాటు చేస్తుంది. ఈ మాల్వేర్ స్వీయ-అన్ఇన్స్టాల్ చేయగల సామర్థ్యాన్ని కూడా కలిగి ఉండి, రాడార్కు దిగువన ఉండేందుకు ఎగవేత వ్యూహాల శ్రేణిని కూడా ఉపయోగిస్తుంది. సర్వర్ నుండి స్వీకరించబడిన ఆదేశాలు అమలు కోసం క్యూలో ఉంటాయి, ఇవి మూడు విభిన్న వర్గాలలోకి వస్తాయి: ఆర్కెస్ట్రేటర్ టాస్క్లు, ఎగ్జిక్యూటర్ టాస్క్లు మరియు అప్లోడ్ టాస్క్లు.
ఎగ్జిక్యూటర్ టాస్క్లు బ్యాక్డోర్ నిర్వహణ మరియు అదనపు మాడ్యూళ్ల అమలుపై నియంత్రణను మంజూరు చేస్తాయి. ఆర్కెస్ట్రేటర్ టాస్క్లు, మరోవైపు, నెట్వర్క్ మరియు టైమర్ మాడ్యూల్ల కాన్ఫిగరేషన్ను నిర్వహిస్తాయి మరియు పెండింగ్లో ఉన్న పనులను రద్దు చేయగలవు.
ప్రక్రియల సృష్టి, ఫైల్ యాక్సెస్ మరియు సిస్టమ్ మెటాడేటా సేకరణతో సహా అనేక ఎగ్జిక్యూటర్ పనులు గుర్తించబడ్డాయి. టైమర్ మాడ్యూల్ క్రమానుగతంగా నెట్వర్క్ మాడ్యూల్తో కలిసి C2 సర్వర్ను సంప్రదిస్తుంది, HTTPS POST అభ్యర్థనల ద్వారా C2 కమ్యూనికేషన్ను సులభతరం చేస్తుంది. టాస్క్లను అప్లోడ్ చేయండి, వాటి పేరు సూచించినట్లుగా, కమాండ్ల ఫలితాలను మరియు ఏవైనా ఎదురైన లోపాలను ప్రసారం చేయడానికి బ్యాక్డోర్ను ప్రారంభించండి.
డెడ్గ్లిఫ్ యాంటీ-డిటెక్షన్ మెకానిజమ్ల శ్రేణిని కలిగి ఉంది, సిస్టమ్ ప్రక్రియల నిరంతర పర్యవేక్షణ మరియు యాదృచ్ఛిక నెట్వర్క్ నమూనాల అమలుతో సహా. ఇంకా, ఇది గుర్తించే సంభావ్యతను తగ్గించడానికి కొన్ని సందర్భాల్లో స్వీయ-అన్ఇన్స్టాల్ చేయగల సామర్థ్యాన్ని కలిగి ఉంది.
స్టెల్త్ ఫాల్కన్ సైబర్ క్రైమ్ గ్రూప్ దాదాపు ఒక దశాబ్దం పాటు పనిచేస్తోంది
FruityArmor అని కూడా పిలువబడే స్టెల్త్ ఫాల్కన్, 2016లో మధ్యప్రాచ్యంలోని లక్షిత స్పైవేర్ దాడుల్లో దాని ప్రమేయాన్ని పరిశోధకులు వెలికితీసినప్పుడు ప్రజల దృష్టికి వచ్చింది. యునైటెడ్ అరబ్ ఎమిరేట్స్ (UAE)లోని జర్నలిస్టులు, కార్యకర్తలు మరియు అసమ్మతివాదులపై ఈ దాడులు జరిగాయి. బెదిరింపు నటులు స్పియర్-ఫిషింగ్ వ్యూహాలను ఉపయోగించారు, స్థూల-లాడెన్ డాక్యుమెంట్లకు దారితీసిన ఇమెయిల్లలో పొందుపరిచిన మోసపూరిత లింక్లతో బాధితులను ప్రలోభపెట్టారు. ఈ పత్రాలు ఏకపక్ష ఆదేశాలను అమలు చేయగల అనుకూల ఇంప్లాంట్ కోసం డెలివరీ మెకానిజమ్లుగా పనిచేశాయి.
2019లో జరిపిన తదుపరి పరిశోధన ప్రాజెక్ట్ రావెన్ అనే పేరుతో ఒక రహస్య ఆపరేషన్ను ఆవిష్కరించింది, ఇందులో డార్క్మాటర్ అనే సైబర్ సెక్యూరిటీ సంస్థ నియమించిన మాజీ US ఇంటెలిజెన్స్ నిపుణుల బృందాన్ని కలిగి ఉంది. అరబ్ రాచరికాన్ని విమర్శించే వ్యక్తులపై నిఘా నిర్వహించడం వారి లక్ష్యం. విశేషమేమిటంటే, స్టెల్త్ ఫాల్కన్ మరియు ప్రాజెక్ట్ రావెన్ ఒకేలా కనిపిస్తారు, వారి భాగస్వామ్య వ్యూహాలు మరియు లక్ష్యాల ద్వారా రుజువు చేయబడింది.
కాలక్రమేణా, ఈ సమూహం CVE-2018-8611 మరియు CVE-2019-0797తో సహా Windowsలో జీరో-డే దుర్బలత్వాల దోపిడీకి లింక్ చేయబడింది. 2016 మరియు 2019 మధ్యకాలంలో, ఈ గూఢచర్య సమూహం ఏ ఇతర సంస్థ కంటే జీరో-డే దుర్బలత్వాలను విస్తృతంగా ఉపయోగించిందని సమాచార భద్రతా పరిశోధకులు గుర్తించారు.
ఇదే కాలంలో, విరోధి Win32/StealthFalcon అని పిలువబడే బ్యాక్డోర్ను ఉపయోగించడం గమనించబడింది. ఈ ముప్పు కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్ల కోసం Windows బ్యాక్గ్రౌండ్ ఇంటెలిజెంట్ ట్రాన్స్ఫర్ సర్వీస్ (BITS)ని ప్రభావితం చేసింది, దాడి చేసేవారికి రాజీపడిన ముగింపు పాయింట్లపై పూర్తి నియంత్రణను ఇస్తుంది.