Cửa sau Deadglyph
Các nhà phân tích an ninh mạng gần đây đã phát hiện ra một cửa hậu tiên tiến có tên là "Deadglyph", chưa được ghi nhận trước đây. Phần mềm độc hại tinh vi này được một kẻ đe dọa có tên "Stealth Falcon" sử dụng như một phần của chiến dịch gián điệp mạng của họ.
Điều khiến Deadglyph trở nên khác biệt là kiến trúc độc đáo của nó, bao gồm hai thành phần hợp tác. Một là tệp nhị phân x64 gốc, trong khi cái còn lại là tập hợp .NET. Sự khác biệt so với quy chuẩn này là đáng chú ý vì hầu hết phần mềm độc hại thường dựa vào một ngôn ngữ lập trình duy nhất cho các thành phần của nó. Việc áp dụng phương pháp tiếp cận ngôn ngữ kép này cho thấy khả năng có những nỗ lực phát triển riêng biệt cho hai thành phần này, tận dụng khả năng độc đáo của từng ngôn ngữ lập trình.
Hơn nữa, người ta nghi ngờ rằng việc cố tình sử dụng các ngôn ngữ lập trình khác nhau đóng vai trò là một chiến thuật chiến lược nhằm cản trở nỗ lực phân tích. Điều này khiến các nhà nghiên cứu bảo mật gặp khó khăn hơn đáng kể trong việc điều hướng và gỡ lỗi phần mềm độc hại, bao gồm thêm một lớp phức tạp nữa trong việc phát hiện và giảm thiểu phần mềm độc hại.
Mục lục
Backdoor Deadglyph hiển thị các đặc điểm bất thường
Deadglyph đại diện cho sự bổ sung mới nhất cho kho vũ khí của Stealth Falcon, được sử dụng bởi một thực thể chính phủ không được tiết lộ ở Trung Đông. Khác biệt với các cửa hậu thông thường, công cụ đe dọa này nhận lệnh từ máy chủ do tác nhân đe dọa kiểm soát. Các lệnh này xuất hiện dưới dạng các mô-đun bổ sung, cấp cho Deadglyph khả năng khởi tạo các quy trình mới, truy cập tệp và thu thập dữ liệu từ các hệ thống bị xâm nhập.
Phương pháp cấy ghép chính xác vẫn còn là một bí ẩn. Tuy nhiên, trình kích hoạt ban đầu để thực thi nó là trình tải shellcode để truy xuất và tải shellcode từ Windows Register. Ngược lại, điều này sẽ bắt đầu thực thi thành phần x64 gốc của Deadglyph, được gọi là "Executor".
Nhiễm Deadglyph có thể gây ra hậu quả tai hại cho nạn nhân
Bộ thực thi, sau khi được kích hoạt, sẽ tiến hành tải một thành phần .NET được gọi là "Bộ điều phối". Người soạn nhạc thiết lập liên lạc với máy chủ Chỉ huy và Kiểm soát (C2), chờ chỉ thị tiếp theo. Phần mềm độc hại này cũng sử dụng một loạt chiến thuật lẩn tránh để tránh bị phát hiện, thậm chí còn có khả năng tự gỡ cài đặt. Các lệnh nhận được từ máy chủ được xếp hàng đợi để thực thi, thuộc ba loại riêng biệt: Nhiệm vụ của người điều phối, nhiệm vụ của người thực thi và nhiệm vụ tải lên.
Nhiệm vụ của người thực thi cấp quyền kiểm soát việc quản lý cửa sau và thực thi các mô-đun bổ sung. Mặt khác, các tác vụ của người điều phối quản lý cấu hình của mô-đun Mạng và Bộ hẹn giờ và có thể hủy các tác vụ đang chờ xử lý.
Một số tác vụ của Executor đã được xác định, bao gồm tạo quy trình, truy cập tệp và thu thập siêu dữ liệu hệ thống. Mô-đun Hẹn giờ liên lạc định kỳ với máy chủ C2 cùng với mô-đun Mạng, tạo điều kiện liên lạc C2 thông qua các yêu cầu HTTPS POST. Các tác vụ tải lên, như tên gọi của chúng, cho phép cửa hậu truyền kết quả của các lệnh và bất kỳ lỗi nào gặp phải.
Deadglyph tự hào có một loạt các cơ chế chống phát hiện, bao gồm giám sát liên tục các quy trình hệ thống và triển khai các mẫu mạng ngẫu nhiên. Hơn nữa, nó còn có khả năng tự gỡ cài đặt trong một số trường hợp nhất định để giảm khả năng bị phát hiện.
Nhóm tội phạm mạng Stealth Falcon đã hoạt động được gần một thập kỷ
Stealth Falcon, còn được gọi là FruityArmor, lần đầu tiên được công chúng chú ý vào năm 2016 khi các nhà nghiên cứu phát hiện ra sự liên quan của nó trong các cuộc tấn công phần mềm gián điệp có chủ đích ở Trung Đông. Những cuộc tấn công này nhằm vào các nhà báo, nhà hoạt động và những người bất đồng chính kiến ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Những kẻ đe dọa đã sử dụng các chiến thuật lừa đảo trực tuyến, lôi kéo nạn nhân bằng các liên kết lừa đảo được nhúng trong email dẫn đến các tài liệu chứa macro. Những tài liệu này đóng vai trò là cơ chế phân phối cho một bộ cấy tùy chỉnh có khả năng thực hiện các lệnh tùy ý.
Một cuộc điều tra tiếp theo vào năm 2019 đã tiết lộ một hoạt động bí mật có tên Project Raven, trong đó có một nhóm cựu chuyên gia tình báo Hoa Kỳ được tuyển dụng bởi một công ty an ninh mạng có tên DarkMatter. Nhiệm vụ của họ là tiến hành giám sát những cá nhân chỉ trích chế độ quân chủ Ả Rập. Đáng chú ý, Stealth Falcon và Project Raven dường như là một và giống nhau, bằng chứng là các chiến thuật và mục tiêu chung của họ.
Theo thời gian, nhóm này có liên quan đến việc khai thác các lỗ hổng zero-day trên Windows, bao gồm CVE-2018-8611 và CVE-2019-0797. Các nhà nghiên cứu bảo mật thông tin đã lưu ý rằng, từ năm 2016 đến năm 2019, nhóm gián điệp này đã sử dụng rộng rãi các lỗ hổng zero-day hơn bất kỳ tổ chức nào khác.
Trong cùng khoảng thời gian này, người ta quan sát thấy kẻ thù đang sử dụng một cửa sau có tên Win32/StealthFalcon. Mối đe dọa này đã tận dụng Dịch vụ truyền thông minh trong nền Windows (BITS) để liên lạc với Lệnh và Kiểm soát (C2), cấp cho kẻ tấn công quyền kiểm soát hoàn toàn đối với các điểm cuối bị xâm nhập.
