死亡字形後門

網路安全分析師最近發現了一個名為「Deadglyph」的高級後門，該後門從未被記錄在案。這種複雜的惡意軟體被名為「Stealth Falcon」的威脅行為者用作其網路間諜活動的一部分。

Deadglyph 的與眾不同之處在於它的非傳統架構，由兩個協作元件組成。一種是本機 x64 二進位文件，另一種是 .NET 組件。這種與規範的背離值得注意，因為大多數惡意軟體的元件通常依賴單一程式語言。採用這種雙語方法表明可以利用每種程式語言的獨特功能，分別開發這兩個元件。

此外，有人懷疑故意使用不同的程式語言是阻礙分析工作的策略策略。這使得安全研究人員導航和除錯惡意軟體變得更具挑戰性，包括其檢測和緩解的複雜性又增加了一層。

Deadglyph 後門顯示出不尋常的特徵

Deadglyph 代表了 Stealth Falcon 武器庫的最新成員，由中東一個未公開的政府實體使用。與傳統後門不同的是，這種威脅工具從威脅行為者控制的伺服器接收命令。這些命令以補充模組的形式出現，使 Deadglyph 能夠啟動新進程、存取檔案並從受感染的系統中獲取資料。

植入物輸送的確切方法仍然是個謎。然而，其執行的初始觸發器是 shellcode 載入器，它從 Windows 登錄中檢索並載入 shellcode。這反過來會啟動 Deadglyph 的本機 x64 元件（稱為「執行器」）的執行。

Deadglyph 感染可能會為受害者帶來災難性後果

執行器一旦激活，就會繼續載入一個稱為「Orchestrator」的 .NET 元件。 Orchestrator 與命令與控制 (C2) 伺服器建立通信，等待進一步的指令。該惡意軟體還採用一系列規避策略來隱藏自己，甚至具有自我卸載的能力。從伺服器接收的指令會排隊等待執行，分為三個不同的類別：Orchestrator 任務、Executor 任務和Upload 任務。

執行器任務授予對後門管理和附加模組執行的控制權。另一方面，Orchestrator 任務管理網路和計時器模組的配置，並且可以取消待處理的任務。

已經確定了幾個執行器任務，包括進程的建立、檔案存取和系統元資料的收集。定時器模組與網路模組一起定期聯繫 C2 伺服器，透過 HTTPS POST 請求促進 C2 通訊。上傳任務，顧名思義，使後門能夠傳輸命令的結果和任何遇到的錯誤。

Deadglyph 擁有一系列反偵測機制，包括對系統進程的持續監控和隨機網路模式的實作。此外，它還具有在某些情況下自行卸載的能力，以降低被發現的可能性。

Stealth Falcon 網路犯罪集團已運作近十年

Stealth Falcon，也稱為 FruityArmor，最初於 2016 年引起公眾關注，當時研究人員發現它參與了中東地區的定向間諜軟體攻擊。這些攻擊針對的是阿拉伯聯合大公國（UAE）的記者、活動人士和異議人士。威脅行為者採用魚叉式網路釣魚策略，透過電子郵件中嵌入的欺騙性連結來引誘受害者，這些連結會導致包含巨集的文件。這些文件充當能夠執行任意命令的自訂植入程序的傳遞機制。

2019 年的一項後續調查揭露了一項名為「烏鴉計畫」的秘密行動，該行動的特點是由一家名為 DarkMatter 的網路安全公司招募了一群前美國情報專業人員。他們的任務是監視批評阿拉伯君主制的個人。值得注意的是，「隱形獵鷹」和「烏鴉計畫」似乎是一回事，這從它們共同的戰術和目標就可以看出。

隨著時間的推移，該組織與利用 Windows 中的零日漏洞有關，包括 CVE-2018-8611 和 CVE-2019-0797。資訊安全研究人員指出，2016 年至 2019 年間，該間諜組織比任何其他實體更廣泛地利用零日漏洞。

大約在同一時期，觀察到對手使用了名為 Win32/StealthFalcon 的後門。此威脅利用 Windows 後台智慧傳輸服務 (BITS) 進行命令與控制 (C2) 通信，使攻擊者能夠完全控制受感染的端點。