Stealth-Soldat-Malware, die bei Cyberspionage eingesetzt wird

In Nordafrika wurde eine Reihe äußerst gezielter Spionageangriffe mithilfe einer neu entwickelten Hintertür namens Stealth Soldier durchgeführt.

Das Cybersicherheitsunternehmen Check Point beschrieb Stealth Soldier in einem technischen Bericht als eine maßgeschneiderte Hintertür, die hauptsächlich zu Überwachungszwecken dient. Zu seinen Funktionen gehören das Extrahieren von Dateien, das Aufzeichnen von Bildschirm- und Mikrofonaktivitäten, das Protokollieren von Tastatureingaben und das Stehlen von Browserinformationen.

Bei der laufenden Operation kommen Befehls- und Kontrollserver zum Einsatz, die Websites des libyschen Außenministeriums nachahmen. Die frühesten Anzeichen dieser Kampagne lassen sich bis Oktober 2022 zurückverfolgen.

Die Angriffe beginnen damit, dass potenzielle Ziele mithilfe von Social-Engineering-Taktiken gefälschte Downloader-Binärdateien herunterladen. Diese Zwischennutzlasten dienen als Kanal für den Erhalt von Stealth Soldier und zeigen gleichzeitig eine Täuschungs-PDF-Datei an.

Es wird angenommen, dass Stealth Soldier, ein maßgeschneidertes modulares Implantat, sparsam eingesetzt wird. Es ermöglicht Überwachungsfunktionen durch das Sammeln von Verzeichnislisten und Browser-Anmeldeinformationen, das Erfassen von Tastenanschlägen, das Aufzeichnen von Audio vom Mikrofon, das Erstellen von Screenshots, das Hochladen von Dateien und das Ausführen von PowerShell-Befehlen. Check Point ergab, dass die Malware verschiedene Arten von Befehlen verwendet, darunter vom Command-and-Control-Server heruntergeladene Plugins und interne Module.

Stealth Soldier wird immer noch aktiv aktualisiert

Die Entdeckung von drei Versionen von Stealth Soldier legt nahe, dass die Betreiber es aktiv pflegen und aktualisieren.

Während auf einige Komponenten der Malware nicht mehr zugegriffen werden kann, sollen die Plugins zur Bildschirmaufnahme und zum Stehlen von Browser-Anmeldeinformationen von Open-Source-Projekten auf GitHub inspiriert worden sein.

Darüber hinaus weist die Infrastruktur, die Stealth Soldier unterstützt, Ähnlichkeiten mit der Infrastruktur auf, die in einer früheren Phishing-Kampagne namens Eye on the Nile verwendet wurde, die sich 2019 gegen ägyptische Journalisten und Menschenrechtsaktivisten richtete.

Diese jüngste Entwicklung deutet auf ein mögliches Wiederauftauchen des Bedrohungsakteurs in Eye on the Nile hin. Daraus geht hervor, dass sich die Gruppe auf Überwachungsaktivitäten gegen ägyptische und libysche Einheiten konzentriert.