Deadglyph Arka Kapı
Siber güvenlik analistleri yakın zamanda "Deadglyph" olarak bilinen ve daha önce belgelenmemiş gelişmiş bir arka kapıyı ortaya çıkardı. Bu gelişmiş kötü amaçlı yazılım, "Stealth Falcon" adlı bir tehdit aktörü tarafından siber casusluk kampanyasının bir parçası olarak kullanıldı.
Deadglyph'i diğerlerinden ayıran şey, birlikte çalışan iki bileşenden oluşan alışılmadık mimarisidir. Biri yerel bir x64 ikili dosyası, diğeri ise bir .NET derlemesidir. Normdan bu sapma dikkat çekicidir çünkü çoğu kötü amaçlı yazılım, bileşenleri için genellikle tek bir programlama diline dayanır. Bu çift dilli yaklaşımın benimsenmesi, her programlama dilinin benzersiz yeteneklerinden yararlanarak bu iki bileşen için ayrı geliştirme çabalarının mümkün olduğunu göstermektedir.
Ayrıca, farklı programlama dillerinin kasıtlı olarak kullanılmasının, analiz çabalarını sekteye uğratacak stratejik bir taktik olarak hizmet ettiğinden şüpheleniliyor. Bu, güvenlik araştırmacılarının kötü amaçlı yazılımda gezinmesini ve hata ayıklamasını çok daha zorlaştırıyor ve bunun tespiti ve hafifletilmesine bir kat daha karmaşıklık katıyor.
İçindekiler
Deadglyph Arka Kapısı Olağandışı Özellikler Gösteriyor
Deadglyph, Orta Doğu'da adı açıklanmayan bir hükümet kuruluşunda kullanılan Stealth Falcon'un cephaneliğine yapılan en son eklemeyi temsil ediyor. Geleneksel arka kapılardan farklı olarak bu tehdit aracı, komutları tehdit aktörü tarafından kontrol edilen bir sunucudan alır. Bu komutlar, Deadglyph'e yeni süreçler başlatma, dosyalara erişme ve güvenliği ihlal edilmiş sistemlerden veri toplama yeteneği sağlayan tamamlayıcı modüller biçiminde gelir.
İmplantın uygulanmasının kesin yöntemi bir sır olarak kalmaya devam ediyor. Ancak, bunun yürütülmesi için ilk tetikleyici, Windows Kayıt Defterinden kabuk kodunu alan ve yükleyen bir kabuk kodu yükleyicisidir. Bu da Deadglyph'in "Yürütücü" olarak bilinen yerel x64 bileşeninin yürütülmesini başlatır.
Deadglyph Enfeksiyonu Kurbanlar İçin Feci Sonuçlara Yol Açabilir
Yürütücü etkinleştirildikten sonra "Orkestratör" adı verilen bir .NET bileşenini yüklemeye devam eder. Orkestratör, daha sonraki talimatları bekleyerek Komuta ve Kontrol (C2) sunucusuyla iletişim kurar. Bu kötü amaçlı yazılım aynı zamanda radarın altında kalmak için bir dizi kaçınma taktiği kullanıyor ve hatta kendi kendini kaldırma yeteneğine sahip. Sunucudan alınan komutlar, üç farklı kategoriye ayrılarak yürütülmek üzere sıraya alınır: Orkestratör görevleri, Yürütücü görevleri ve Yükleme görevleri.
Yürütücü görevleri, arka kapının yönetimi ve ek modüllerin yürütülmesi üzerinde kontrol sağlar. Orkestratör görevleri ise Ağ ve Zamanlayıcı modüllerinin yapılandırmasını yönetir ve bekleyen görevleri iptal edebilir.
Süreçlerin oluşturulması, dosya erişimi ve sistem meta verilerinin toplanması dahil olmak üzere çeşitli Executor görevleri tanımlanmıştır. Zamanlayıcı modülü, Ağ modülüyle birlikte periyodik olarak C2 sunucusuyla iletişim kurarak HTTPS POST istekleri aracılığıyla C2 iletişimini kolaylaştırır. Yükleme görevleri, adından da anlaşılacağı gibi, arka kapının komutların sonuçlarını ve karşılaşılan hataları iletmesine olanak tanır.
Deadglyph, sistem süreçlerinin sürekli izlenmesi ve rastgele ağ modellerinin uygulanması da dahil olmak üzere bir dizi tespit önleme mekanizmasına sahiptir. Ayrıca, tespit olasılığını azaltmak için belirli senaryolarda kendi kendine kaldırma özelliğine de sahiptir.
Stealth Falcon Siber Suç Grubu On Yıla Yakın Bir Süredir Faaliyet Gösteriyor
FruityArmor olarak da bilinen Stealth Falcon, ilk olarak 2016 yılında araştırmacıların Orta Doğu'daki hedefli casus yazılım saldırılarına karıştığını ortaya çıkarmasıyla kamuoyunun dikkatini çekti. Bu saldırılar Birleşik Arap Emirlikleri'ndeki (BAE) gazetecilere, aktivistlere ve muhaliflere yönelikti. Tehdit aktörleri, hedef odaklı kimlik avı taktikleri kullanarak, makro yüklü belgelere yönlendiren e-postalara yerleştirilmiş aldatıcı bağlantılarla kurbanları baştan çıkardı. Bu belgeler, keyfi komutları yürütebilen özel bir implant için dağıtım mekanizmaları olarak hizmet ediyordu.
2019'da yapılan bir sonraki soruşturma, DarkMatter adlı bir siber güvenlik firması tarafından işe alınan bir grup eski ABD istihbarat profesyonelinin yer aldığı Project Raven adlı gizli bir operasyonu ortaya çıkardı. Görevleri Arap monarşisini eleştiren kişileri gözetlemekti. Dikkat çekici bir şekilde, Stealth Falcon ve Project Raven, ortak taktikleri ve hedeflerinden de anlaşılacağı üzere tek ve aynı görünüyor.
Zamanla bu grup, CVE-2018-8611 ve CVE-2019-0797 dahil olmak üzere Windows'taki sıfır gün güvenlik açıklarından yararlanılmasıyla ilişkilendirildi. Bilgi güvenliği araştırmacıları, 2016 ile 2019 yılları arasında bu casusluk grubunun sıfır gün güvenlik açıklarından diğer tüm kuruluşlardan daha kapsamlı şekilde yararlandığını belirtti.
Aynı dönemde, düşmanın Win32/StealthFalcon olarak bilinen bir arka kapıyı kullandığı gözlemlendi. Bu tehdit, Komuta ve Kontrol (C2) iletişimleri için Windows Arka Plan Akıllı Aktarım Hizmeti'nden (BITS) yararlanarak saldırganlara tehlikeye atılan uç noktalar üzerinde tam kontrol sağladı.
