ประตูหลัง Deadglyph

นักวิเคราะห์ความปลอดภัยทางไซเบอร์เพิ่งค้นพบแบ็คดอร์ขั้นสูงที่เรียกว่า "Deadglyph" ซึ่งไม่ได้รับการบันทึกไว้ก่อนหน้านี้ มัลแวร์ที่ซับซ้อนนี้ถูกใช้โดยผู้คุกคามชื่อ "Stealth Falcon" ซึ่งเป็นส่วนหนึ่งของแคมเปญจารกรรมทางไซเบอร์

สิ่งที่ทำให้ Deadglyph แตกต่างออกไปก็คือสถาปัตยกรรมที่แหวกแนว ซึ่งประกอบด้วยสององค์ประกอบที่ทำงานร่วมกัน หนึ่งคือไบนารี x64 ดั้งเดิม ในขณะที่อีกอันเป็นแอสเซมบลี .NET การที่แตกต่างจากบรรทัดฐานนี้เป็นเรื่องน่าสังเกต เนื่องจากโดยทั่วไปแล้วมัลแวร์ส่วนใหญ่อาศัยภาษาการเขียนโปรแกรมเดียวสำหรับส่วนประกอบต่างๆ การใช้แนวทางสองภาษานี้ชี้ให้เห็นถึงความเป็นไปได้ของความพยายามในการพัฒนาแยกกันสำหรับองค์ประกอบทั้งสองนี้ โดยใช้ประโยชน์จากความสามารถเฉพาะตัวของภาษาการเขียนโปรแกรมแต่ละภาษา

นอกจากนี้ ยังเป็นที่สงสัยว่าการใช้ภาษาการเขียนโปรแกรมที่แตกต่างกันโดยเจตนาทำหน้าที่เป็นกลยุทธ์เชิงกลยุทธ์เพื่อขัดขวางความพยายามในการวิเคราะห์ สิ่งนี้ทำให้นักวิจัยด้านความปลอดภัยมีความท้าทายมากขึ้นในการนำทางและแก้ไขข้อบกพร่องของมัลแวร์ รวมถึงความซับซ้อนอีกชั้นหนึ่งในการตรวจจับและการบรรเทาผลกระทบ

Deadglyph Backdoor แสดงลักษณะที่ผิดปกติ

Deadglyph เป็นตัวแทนส่วนเสริมล่าสุดในคลังแสงของ Stealth Falcon ซึ่งใช้ในหน่วยงานของรัฐที่ไม่เปิดเผยในตะวันออกกลาง เครื่องมือคุกคามนี้แตกต่างจากประตูหลังทั่วไป โดยรับคำสั่งจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้คุกคาม คำสั่งเหล่านี้มาในรูปแบบของโมดูลเสริม ทำให้ Deadglyph มีความสามารถในการเริ่มต้นกระบวนการใหม่ เข้าถึงไฟล์ และเก็บเกี่ยวข้อมูลจากระบบที่ถูกบุกรุก

วิธีการจัดส่งรากฟันเทียมที่แน่นอนยังคงเป็นปริศนา อย่างไรก็ตาม ทริกเกอร์เริ่มต้นสำหรับการดำเนินการคือตัวโหลดเชลล์โค้ดที่ดึงข้อมูลและโหลดเชลล์โค้ดจากรีจิสทรีของ Windows ซึ่งจะเป็นการเริ่มการทำงานของส่วนประกอบ x64 ดั้งเดิมของ Deadglyph ซึ่งเรียกว่า "Executor"

การติดเชื้อ Deadglyph อาจส่งผลร้ายแรงต่อผู้ที่ตกเป็นเหยื่อ

เมื่อเปิดใช้งานแล้ว Executor จะดำเนินการโหลดส่วนประกอบ .NET ที่เรียกว่า "Orchestrator" Orchestrator สร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อรอคำสั่งเพิ่มเติม มัลแวร์นี้ยังใช้กลยุทธ์การหลบหลีกหลายชุดเพื่อให้อยู่ต่ำกว่าเรดาร์ แม้ว่าจะมีความสามารถในการถอนการติดตั้งด้วยตนเองก็ตาม คำสั่งที่ได้รับจากเซิร์ฟเวอร์จะถูกจัดคิวเพื่อดำเนินการ โดยแบ่งออกเป็นสามประเภทที่แตกต่างกัน: งานออเคสตรา งานผู้ดำเนินการ และงานอัพโหลด

งานของผู้บริหารจะให้การควบคุมการจัดการประตูหลังและการดำเนินการของโมดูลเพิ่มเติม ในทางกลับกัน งาน Orchestrator จะจัดการการกำหนดค่าโมดูลเครือข่ายและตัวจับเวลา และสามารถยกเลิกงานที่ค้างอยู่ได้

มีการระบุงานของ Executor หลายอย่าง รวมถึงการสร้างกระบวนการ การเข้าถึงไฟล์ และการรวบรวมข้อมูลเมตาของระบบ โมดูลตัวจับเวลาจะติดต่อกับเซิร์ฟเวอร์ C2 เป็นระยะร่วมกับโมดูลเครือข่าย ซึ่งอำนวยความสะดวกในการสื่อสาร C2 ผ่านการร้องขอ HTTPS POST อัปโหลดงานตามชื่อของมัน เปิดใช้งานแบ็คดอร์เพื่อส่งผลลัพธ์ของคำสั่งและข้อผิดพลาดที่พบ

Deadglyph มีกลไกป้องกันการตรวจจับมากมาย รวมถึงการตรวจสอบกระบวนการของระบบอย่างต่อเนื่องและการนำรูปแบบเครือข่ายแบบสุ่มไปใช้ นอกจากนี้ยังมีความสามารถในการถอนการติดตั้งตัวเองในบางสถานการณ์เพื่อลดโอกาสในการตรวจจับ

กลุ่มอาชญากรรมไซเบอร์ Stealth Falcon ดำเนินกิจการมาเกือบทศวรรษแล้ว

Stealth Falcon หรือที่รู้จักกันในชื่อ FruityArmor ได้รับความสนใจจากสาธารณชนเป็นครั้งแรกในปี 2559 เมื่อนักวิจัยค้นพบความเกี่ยวข้องในการโจมตีสปายแวร์แบบกำหนดเป้าหมายภายในตะวันออกกลาง การโจมตีเหล่านี้มุ่งเป้าไปที่นักข่าว นักเคลื่อนไหว และผู้เห็นต่างในสหรัฐอาหรับเอมิเรตส์ (UAE) ผู้คุกคามใช้กลวิธีฟิชชิ่งแบบหอก ล่อลวงเหยื่อด้วยลิงก์หลอกลวงที่ฝังอยู่ในอีเมลซึ่งนำไปสู่เอกสารที่เต็มไปด้วยข้อมูลขนาดใหญ่ เอกสารเหล่านี้ทำหน้าที่เป็นกลไกการจัดส่งสำหรับการปลูกถ่ายแบบสั่งทำซึ่งสามารถดำเนินการตามคำสั่งที่กำหนดเองได้

การสอบสวนครั้งต่อไปในปี 2019 ได้เปิดเผยปฏิบัติการลับชื่อ Project Raven ซึ่งมีกลุ่มอดีตผู้เชี่ยวชาญด้านข่าวกรองของสหรัฐฯ ซึ่งได้รับการคัดเลือกจากบริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อ DarkMatter ภารกิจของพวกเขาคือการสอดแนมบุคคลที่วิพากษ์วิจารณ์สถาบันกษัตริย์อาหรับ สิ่งที่น่าทึ่งคือ Stealth Falcon และ Project Raven ดูเหมือนจะเป็นหนึ่งเดียวกัน โดยเห็นได้จากกลยุทธ์และเป้าหมายร่วมกันของพวกเขา

เมื่อเวลาผ่านไป กลุ่มนี้เชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่แบบ Zero-day ใน Windows รวมถึง CVE-2018-8611 และ CVE-2019-0797 นักวิจัยด้านความปลอดภัยของข้อมูลตั้งข้อสังเกตว่าระหว่างปี 2559 ถึง 2562 กลุ่มจารกรรมนี้ใช้ช่องโหว่แบบ Zero-day อย่างกว้างขวางมากกว่าหน่วยงานอื่นๆ

ในช่วงเวลาเดียวกันนี้ ฝ่ายตรงข้ามถูกสังเกตเห็นโดยใช้ประตูหลังที่เรียกว่า Win32/StealthFalcon ภัยคุกคามนี้ใช้ประโยชน์จาก Windows Background Intelligent Transfer Service (BITS) สำหรับการสื่อสาร Command-and-Control (C2) ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ปลายทางที่ถูกบุกรุกได้อย่างสมบูรณ์