Deadglyph Backdoor Deployeret af Stealth Falcon APT

Cybersikkerhedseksperter har fundet en avanceret skjult bagdør kaldet Deadglyph, som tidligere var uopdaget og brugt af trusselsaktøren Stealth Falcon som en del af en cyberspionageoperation.

I en nylig rapport delt med cybersikkerhedsplatformen The Hacker News bemærkede sikkerhedsforskere, at Deadglyphs struktur er utraditionel på grund af dens samarbejde mellem to komponenter: en native x64-binær og en .NET-samling. Dette skiller sig ud, fordi typisk malware er afhængig af et enkelt programmeringssprog for dets elementer. Denne divergens kan tyde på separate udviklingsindsatser for disse komponenter, mens de også udnytter unikke aspekter af de programmeringssprog, de anvender.

Der er også mistanke om, at brugen af forskellige programmeringssprog tjener som en bevidst taktik til at hindre analyse, hvilket gør det betydeligt mere udfordrende at navigere og fejlfinde.

I modsætning til andre konventionelle bagdøre af slagsen modtager Deadglyph kommandoer fra en server styret af trusselsaktøren, leveret i form af yderligere moduler. Disse moduler gør det muligt for bagdøren at starte nye processer, få adgang til filer og indsamle data fra kompromitterede systemer.

Stealth Falcons tidligere aktivitet

Stealth Falcon, også kendt som FruityArmor, kom først til offentlig opmærksomhed i 2016, da Citizen Lab forbandt det med en række målrettede spywareangreb i Mellemøsten. Disse angreb var rettet mod journalister, aktivister og dissidenter i De Forenede Arabiske Emirater, ved at bruge spear-phishing-taktik, der involverede booby-fangede links i makroladede dokumenter for at levere et tilpasset implantat, der er i stand til at udføre vilkårlige kommandoer.

En efterfølgende undersøgelse foretaget af Reuters i 2019 afslørede Project Raven, en hemmelig operation, der involverer tidligere amerikansk efterretningspersonale, som blev rekrutteret af cybersikkerhedsfirmaet DarkMatter til at spionere på enheder, der er kritiske over for det arabiske monarki. Der er stærke indikationer på, at Stealth Falcon og Project Raven er en og samme, givet deres overlappende taktik og mål.

Siden da har gruppen været forbundet med udnyttelsen af nul-dages sårbarheder i Windows, såsom CVE-2018-8611 og CVE-2019-0797. I april 2020 rapporterede Mandiant, at denne spionagegruppe havde "brugt flere nul-dage end nogen anden gruppe" fra 2016 til 2019.

Omkring samme tidsramme afslørede forskere gruppens brug af en bagdør kaldet Win32/StealthFalcon, som brugte Windows Background Intelligent Transfer Service (BITS) til kommando-og-kontrol (C2) kommunikation og til at få fuld kontrol over et slutpunkt.

Ifølge et slovakisk cybersikkerhedsfirma er Deadglyph den seneste tilføjelse til Stealth Falcons værktøjssæt, opdaget under en undersøgelse af en indtrængen i en ikke-oplyst statslig enhed i Mellemøsten.

Den specifikke metode, der bruges til at implementere implantatet, forbliver ukendt, men den første komponent, der er ansvarlig for at aktivere dets udførelse, er en shellcode-indlæser, der udtrækker og indlæser shell-kode fra Windows-registreringsdatabasen. Denne loader lancerer efterfølgende Deadglyphs oprindelige x64-modul, kaldet Executor. Executoren fortsætter derefter med at indlæse en .NET-komponent kendt som Orchestrator, som kommunikerer med kommando-og-kontrol-serveren (C2) for at afvente yderligere instruktioner. Malwaren anvender også forskellige undvigende teknikker for at forblive uopdaget, herunder evnen til at afinstallere sig selv.