Deadglyph-Hintertür, bereitgestellt von Stealth Falcon APT

Cybersicherheitsexperten haben eine fortschrittliche verdeckte Hintertür namens Deadglyph entdeckt, die zuvor unentdeckt war und vom Bedrohungsakteur Stealth Falcon im Rahmen einer Cyberspionageoperation genutzt wurde.

In einem kürzlich mit der Cybersicherheitsplattform The Hacker News geteilten Bericht stellten Sicherheitsforscher fest, dass die Struktur von Deadglyph aufgrund der Zusammenarbeit zweier Komponenten unkonventionell sei: einer nativen x64-Binärdatei und einer .NET-Assembly. Dies zeichnet sich dadurch aus, dass typische Malware für ihre Elemente auf einer einzigen Programmiersprache basiert. Diese Divergenz deutet möglicherweise auf separate Entwicklungsanstrengungen für diese Komponenten hin, während gleichzeitig einzigartige Aspekte der von ihnen verwendeten Programmiersprachen ausgenutzt werden.

Es besteht auch der Verdacht, dass die Verwendung unterschiedlicher Programmiersprachen eine bewusste Taktik ist, um die Analyse zu erschweren, was die Navigation und das Debuggen erheblich erschwert.

Im Gegensatz zu anderen herkömmlichen Hintertüren dieser Art erhält Deadglyph Befehle von einem vom Bedrohungsakteur kontrollierten Server, die in Form zusätzlicher Module bereitgestellt werden. Diese Module ermöglichen es der Hintertür, neue Prozesse zu initiieren, auf Dateien zuzugreifen und Daten von kompromittierten Systemen zu sammeln.

Vorherige Aktivität von Stealth Falcon

Stealth Falcon, auch bekannt als FruityArmor, erlangte erstmals 2016 öffentliche Aufmerksamkeit, als Citizen Lab es mit einer Reihe gezielter Spyware-Angriffe im Nahen Osten in Verbindung brachte. Diese Angriffe richteten sich gegen Journalisten, Aktivisten und Dissidenten in den Vereinigten Arabischen Emiraten und nutzten Spear-Phishing-Taktiken mit Sprengfallen-Links in mit Makros beladenen Dokumenten, um ein individuelles Implantat zu liefern, das in der Lage ist, beliebige Befehle auszuführen.

Eine anschließende Untersuchung von Reuters im Jahr 2019 deckte Project Raven auf, eine verdeckte Operation, an der ehemalige US-Geheimdienstmitarbeiter beteiligt waren, die von der Cybersicherheitsfirma DarkMatter angeworben wurden, um Einheiten auszuspionieren, die der arabischen Monarchie kritisch gegenüberstehen. Es gibt starke Anzeichen dafür, dass Stealth Falcon und Project Raven aufgrund ihrer sich überschneidenden Taktiken und Ziele ein und dasselbe sind.

Seitdem wird die Gruppe mit der Ausnutzung von Zero-Day-Schwachstellen in Windows wie CVE-2018-8611 und CVE-2019-0797 in Verbindung gebracht. Im April 2020 berichtete Mandiant, dass diese Spionagegruppe von 2016 bis 2019 „mehr Zero-Days als jede andere Gruppe eingesetzt“ habe.

Ungefähr im gleichen Zeitraum deckten Forscher auf, dass die Gruppe eine Hintertür namens Win32/StealthFalcon nutzte, die den Windows Background Intelligent Transfer Service (BITS) für die Command-and-Control-Kommunikation (C2) nutzte und die vollständige Kontrolle über einen Endpunkt erlangte.

Laut einem slowakischen Cybersicherheitsunternehmen ist Deadglyph die neueste Ergänzung zum Toolkit von Stealth Falcon, die bei einer Untersuchung eines Einbruchs bei einer nicht genannten Regierungsbehörde im Nahen Osten entdeckt wurde.

Die spezifische Methode zur Bereitstellung des Implantats bleibt unbekannt, aber die erste Komponente, die für die Aktivierung seiner Ausführung verantwortlich ist, ist ein Shellcode-Loader, der Shellcode aus der Windows-Registrierung extrahiert und lädt. Dieser Loader startet anschließend das native x64-Modul von Deadglyph, das als Executor bezeichnet wird. Anschließend lädt der Executor eine .NET-Komponente namens Orchestrator, die mit dem Command-and-Control-Server (C2) kommuniziert, um auf weitere Anweisungen zu warten. Die Malware nutzt außerdem verschiedene Ausweichtechniken, um unentdeckt zu bleiben, einschließlich der Möglichkeit, sich selbst zu deinstallieren.