Бекдор Deadglyph
Аналітики з кібербезпеки нещодавно виявили просунутий бекдор, відомий як «Deadglyph», який раніше не був задокументований. Це складне зловмисне програмне забезпечення було використано загрозливим актором під назвою "Stealth Falcon" у рамках своєї кампанії кібершпигунства.
Що відрізняє Deadglyph від інших, так це його нетрадиційна архітектура, яка складається з двох взаємодіючих компонентів. Один є власним двійковим файлом x64, а інший є збіркою .NET. Це відхилення від норми заслуговує на увагу, оскільки більшість зловмисних програм зазвичай покладаються на одну мову програмування для своїх компонентів. Прийняття цього двомовного підходу передбачає можливість окремої розробки для цих двох компонентів, використовуючи унікальні можливості кожної мови програмування.
Крім того, існує підозра, що навмисне використання різних мов програмування є стратегічною тактикою для перешкоджання аналізу. Це значно ускладнює навігацію та налагодження зловмисного програмного забезпечення для дослідників безпеки, включаючи ще один рівень складності для його виявлення та пом’якшення.
Зміст
Бекдор Deadglyph демонструє незвичайні характеристики
Deadglyph представляє останнє доповнення до арсеналу Stealth Falcon, яким володіє невідома державна організація на Близькому Сході. Відрізняючись від звичайних бекдорів, цей загрозливий інструмент отримує команди від сервера, яким керує загрозливий актор. Ці команди надходять у формі додаткових модулів, які надають Deadglyph можливість ініціювати нові процеси, отримувати доступ до файлів і збирати дані з скомпрометованих систем.
Точний спосіб доставки імплантату залишається загадкою. Однак початковим тригером для його виконання є завантажувач коду оболонки, який отримує та завантажує код оболонки з реєстру Windows. Це, у свою чергу, ініціює виконання рідного x64-компонента Deadglyph, відомого як «Executor».
Інфекція мертвих гліфів може мати катастрофічні наслідки для жертв
Після активації Executor починає завантажувати компонент .NET під назвою «Orchestrator». Оркестратор встановлює зв’язок із сервером командування та керування (C2), очікуючи подальших вказівок. Це зловмисне програмне забезпечення також використовує низку тактик ухилення, щоб залишатися поза радаром, навіть маючи можливість самостійного видалення. Команди, отримані від сервера, ставляться в чергу на виконання, розділяючись на три різні категорії: завдання оркестратора, завдання виконавця та завдання завантаження.
Завдання виконавця надають контроль над керуванням бекдором і виконанням додаткових модулів. З іншого боку, завдання Orchestrator керують конфігурацією модулів мережі та таймера та можуть скасовувати незавершені завдання.
Було визначено кілька завдань Executor, включаючи створення процесів, доступ до файлів і збір системних метаданих. Модуль Timer періодично зв’язується з сервером C2 у поєднанні з модулем мережі, полегшуючи зв’язок C2 через запити HTTPS POST. Завдання завантаження, як випливає з їх назви, дозволяють бекдору передавати результати команд і будь-які виявлені помилки.
Deadglyph може похвалитися набором механізмів захисту від виявлення, включаючи безперервний моніторинг системних процесів і впровадження рандомізованих мережевих шаблонів. Крім того, він має можливість самостійного видалення в певних сценаріях, щоб зменшити ймовірність виявлення.
Кіберзлочинна група Stealth Falcon працює вже близько десяти років
Stealth Falcon, також відомий як FruityArmor, спочатку привернув увагу громадськості в 2016 році, коли дослідники виявили його причетність до цілеспрямованих шпигунських атак на Близькому Сході. Ці напади були спрямовані на журналістів, активістів і дисидентів в Об’єднаних Арабських Еміратах (ОАЕ). Зловмисники використовували тактику фішингу, спокушаючи жертв оманливими посиланнями, вбудованими в електронні листи, які вели до документів із макросами. Ці документи слугували механізмами доставки спеціального імплантату, здатного виконувати довільні команди.
Подальше розслідування у 2019 році оприлюднило таємну операцію під назвою Project Raven, у якій брали участь група колишніх спеціалістів розвідки США, завербованих фірмою з кібербезпеки під назвою DarkMatter. Їхня місія полягала у веденні спостереження за особами, які критикують арабську монархію. Примітно, що Stealth Falcon і Project Raven видаються одним і тим же, про що свідчать їхні спільні тактики та цілі.
З часом ця група була пов’язана з використанням уразливостей нульового дня в Windows, зокрема CVE-2018-8611 і CVE-2019-0797. Дослідники з інформаційної безпеки відзначили, що в період з 2016 по 2019 роки ця шпигунська група ширше використовувала вразливості нульового дня, ніж будь-яка інша організація.
Приблизно в цей же період було помічено, що зловмисник використовує бекдор, відомий як Win32/StealthFalcon. Ця загроза використовувала службу Windows Background Intelligent Transfer Service (BITS) для комунікацій командно-контрольних (C2), надаючи зловмисникам повний контроль над скомпрометованими кінцевими точками.
