Deadglyph Backdoor
Kamakailan ay natuklasan ng mga analyst ng cybersecurity ang isang advanced na backdoor na kilala bilang "Deadglyph," na hindi pa naidokumento. Ang sopistikadong malware na ito ay ginamit ng isang threat actor na pinangalanang "Stealth Falcon" bilang bahagi ng kanilang cyber espionage campaign.
Ang pinagkaiba ng Deadglyph ay ang hindi kinaugalian na arkitektura nito, na binubuo ng dalawang nagtutulungang bahagi. Ang isa ay isang native na x64 binary, habang ang isa ay isang .NET assembly. Ang pag-alis na ito mula sa pamantayan ay kapansin-pansin dahil ang karamihan sa malware ay karaniwang umaasa sa isang programming language para sa mga bahagi nito. Ang pag-aampon ng dual-language approach na ito ay nagmumungkahi ng posibilidad ng magkahiwalay na mga pagsisikap sa pagpapaunlad para sa dalawang bahaging ito, na ginagamit ang mga natatanging kakayahan ng bawat programming language.
Higit pa rito, pinaghihinalaan na ang sinasadyang paggamit ng iba't ibang mga programming language ay nagsisilbing isang strategic na taktika upang hadlangan ang mga pagsusumikap sa pagsusuri. Ginagawa nitong mas mahirap para sa mga mananaliksik ng seguridad na i-navigate at i-debug ang malware, kabilang ang isa pang layer ng pagiging kumplikado sa pagtuklas at pagpapagaan nito.
Talaan ng mga Nilalaman
Ang Deadglyph Backdoor ay Nagpapakita ng Mga Hindi Karaniwang Katangian
Kinakatawan ng Deadglyph ang pinakabagong karagdagan sa arsenal ng Stealth Falcon, na ginagamit sa isang hindi natukoy na entity ng pamahalaan sa Middle East. Ang pagtatakda nito bukod sa mga kumbensyonal na backdoors, ang nagbabantang tool na ito ay tumatanggap ng mga utos mula sa isang server na kinokontrol ng threat actor. Dumating ang mga utos na ito sa anyo ng mga karagdagang module, na nagbibigay sa Deadglyph ng kakayahang magpasimula ng mga bagong proseso, mag-access ng mga file, at mag-harvest ng data mula sa mga nakompromisong system.
Ang eksaktong paraan ng paghahatid ng implant ay nananatiling isang misteryo. Gayunpaman, ang paunang trigger para sa pagpapatupad nito ay isang shellcode loader na kumukuha at naglo-load ng shellcode mula sa Windows Registry. Ito naman, ang nagpasimula ng pagpapatupad ng native x64 component ng Deadglyph, na kilala bilang "Executor."
Ang isang Deadglyph Infection ay maaaring Magkaroon ng Masamang Bunga para sa mga Biktima
Ang Executor, kapag na-activate, ay magpapatuloy sa pag-load ng isang .NET component na tinatawag na "Orchestrator." Ang Orchestrator ay nagtatatag ng komunikasyon sa Command-and-Control (C2) server, naghihintay ng karagdagang mga direktiba. Gumagamit din ang malware na ito ng isang serye ng mga taktika sa pag-iwas upang manatili sa ibaba ng radar, kahit na nagtataglay ng kakayahang mag-uninstall ng sarili. Ang mga utos na natanggap mula sa server ay nakapila para sa pagpapatupad, na nahuhulog sa tatlong magkakaibang kategorya: Mga gawain sa Orchestrator, Mga gawain sa Tagapatupad at mga gawain sa Pag-upload.
Ang mga gawain ng tagapagpatupad ay nagbibigay ng kontrol sa pamamahala ng backdoor at ang pagpapatupad ng mga karagdagang module. Ang mga gawain ng Orchestrator, sa kabilang banda, ay namamahala sa pagsasaayos ng mga module ng Network at Timer at maaaring kanselahin ang mga nakabinbing gawain.
Natukoy ang ilang gawain ng Tagapatupad, kabilang ang paglikha ng mga proseso, pag-access sa file, at pagkolekta ng metadata ng system. Pana-panahong nakikipag-ugnayan ang module ng Timer sa server ng C2 kasabay ng module ng Network, na nagpapadali sa komunikasyon ng C2 sa pamamagitan ng mga kahilingan sa HTTPS POST. Ang mga gawain sa pag-upload, gaya ng ipinahihiwatig ng kanilang pangalan, ay nagbibigay-daan sa backdoor na maihatid ang mga resulta ng mga utos at anumang nakatagpo na mga error.
Ipinagmamalaki ng Deadglyph ang isang hanay ng mga mekanismo ng anti-detection, kabilang ang patuloy na pagsubaybay sa mga proseso ng system at ang pagpapatupad ng mga randomized na pattern ng network. Higit pa rito, nagtataglay ito ng kakayahang mag-self-uninstall sa ilang partikular na sitwasyon upang mabawasan ang posibilidad na matuklasan.
Ang Stealth Falcon Cybercrime Group ay Nag-ooperate nang Malapit sa Isang Dekada
Ang Stealth Falcon, na kilala rin bilang FruityArmor, ay unang nakakuha ng atensyon ng publiko noong 2016 nang matuklasan ng mga mananaliksik ang pagkakasangkot nito sa mga naka-target na pag-atake ng spyware sa Middle East. Ang mga pag-atake na ito ay nakadirekta sa mga mamamahayag, aktibista, at mga dissidente sa United Arab Emirates (UAE). Gumamit ang mga aktor ng banta ng mga taktika ng spear-phishing, na nakakaakit sa mga biktima gamit ang mga mapanlinlang na link na naka-embed sa mga email na humantong sa mga dokumentong puno ng macro. Ang mga dokumentong ito ay nagsilbing mga mekanismo ng paghahatid para sa isang custom na implant na may kakayahang magsagawa ng mga arbitrary na utos.
Ang kasunod na pagsisiyasat noong 2019 ay naglabas ng isang patagong operasyon na pinangalanang Project Raven, na nagtampok ng isang grupo ng mga dating propesyonal sa intelligence ng US na na-recruit ng isang cybersecurity firm na tinatawag na DarkMatter. Ang kanilang misyon ay magsagawa ng pagsubaybay sa mga indibidwal na kritikal sa monarkiya ng Arab. Kapansin-pansin, ang Stealth Falcon at Project Raven ay lumilitaw na iisa at pareho, na pinatunayan ng kanilang mga ibinahaging taktika at target.
Sa paglipas ng panahon, ang pangkat na ito ay na-link sa pagsasamantala ng mga zero-day na kahinaan sa Windows, kabilang ang CVE-2018-8611 at CVE-2019-0797. Napansin ng mga mananaliksik sa seguridad ng impormasyon na, sa pagitan ng 2016 at 2019, ang pangkat ng espiya na ito ay gumawa ng mas malawak na paggamit ng mga kahinaan ng zero-day kaysa sa anumang iba pang entity.
Sa parehong panahon na ito, ang kalaban ay naobserbahang gumagamit ng backdoor na kilala bilang Win32/StealthFalcon. Ginamit ng banta na ito ang Windows Background Intelligent Transfer Service (BITS) para sa Command-and-Control (C2) na mga komunikasyon, na nagbibigay sa mga umaatake ng kumpletong kontrol sa mga nakompromisong endpoint.
