Deadglyph Backdoor Αναπτύχθηκε από το Stealth Falcon APT

Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια προηγμένη κρυφή κερκόπορτα που ονομάζεται Deadglyph, η οποία δεν είχε ανακαλυφθεί προηγουμένως και χρησιμοποιήθηκε από τον ηθοποιό απειλών Stealth Falcon ως μέρος μιας επιχείρησης κυβερνοκατασκοπείας.

Σε μια πρόσφατη αναφορά που κοινοποιήθηκε στην πλατφόρμα κυβερνοασφάλειας The Hacker News, οι ερευνητές ασφαλείας σημείωσαν ότι η δομή του Deadglyph είναι αντισυμβατική λόγω της συνεργασίας του μεταξύ δύο στοιχείων: ενός εγγενούς δυαδικού x64 και μιας διάταξης .NET. Αυτό ξεχωρίζει επειδή το τυπικό κακόβουλο λογισμικό βασίζεται σε μία γλώσσα προγραμματισμού για τα στοιχεία του. Αυτή η απόκλιση μπορεί να υποδηλώνει ξεχωριστές προσπάθειες ανάπτυξης για αυτά τα στοιχεία, ενώ παράλληλα εκμεταλλεύονται μοναδικές πτυχές των γλωσσών προγραμματισμού που χρησιμοποιούν.

Υπάρχει επίσης η υποψία ότι η χρήση διαφορετικών γλωσσών προγραμματισμού χρησιμεύει ως σκόπιμη τακτική για να εμποδίσει την ανάλυση, καθιστώντας πολύ πιο δύσκολη την πλοήγηση και τον εντοπισμό σφαλμάτων.

Σε αντίθεση με άλλα συμβατικά κερκόπορτα του είδους του, το Deadglyph λαμβάνει εντολές από έναν διακομιστή που ελέγχεται από τον παράγοντα απειλής, που παρέχονται με τη μορφή πρόσθετων μονάδων. Αυτές οι μονάδες επιτρέπουν στο backdoor να εκκινεί νέες διεργασίες, να έχει πρόσβαση σε αρχεία και να συλλέγει δεδομένα από παραβιασμένα συστήματα.

Προηγούμενη δραστηριότητα του Stealth Falcon

Το Stealth Falcon, γνωστό και ως FruityArmor, ήρθε για πρώτη φορά στην προσοχή του κοινού το 2016 όταν το Citizen Lab το συνέδεσε με μια σειρά στοχευμένων επιθέσεων spyware στη Μέση Ανατολή. Αυτές οι επιθέσεις στόχευαν δημοσιογράφους, ακτιβιστές και αντιφρονούντες στα Ηνωμένα Αραβικά Εμιράτα, χρησιμοποιώντας τακτικές ψαρέματος με δόρυ που περιλαμβάνουν συνδέσμους παγιδευμένους σε μακροεντολές εγγράφων για να παραδώσουν ένα προσαρμοσμένο εμφύτευμα ικανό να εκτελεί αυθαίρετες εντολές.

Μια μεταγενέστερη έρευνα του Reuters το 2019 αποκάλυψε το Project Raven, μια μυστική επιχείρηση στην οποία εμπλέκονταν πρώην στελέχη των μυστικών υπηρεσιών των ΗΠΑ που είχαν στρατολογηθεί από την εταιρεία κυβερνοασφάλειας DarkMatter για να κατασκοπεύουν οντότητες που επικρίνουν την αραβική μοναρχία. Υπάρχουν ισχυρές ενδείξεις ότι το Stealth Falcon και το Project Raven είναι ένα και το αυτό, δεδομένων των αλληλοεπικαλυπτόμενων τακτικών και στόχων τους.

Έκτοτε, η ομάδα έχει συνδεθεί με την εκμετάλλευση τρωτών σημείων zero-day στα Windows, όπως τα CVE-2018-8611 και CVE-2019-0797. Τον Απρίλιο του 2020, η Mandiant ανέφερε ότι αυτή η ομάδα κατασκοπείας είχε «χρησιμοποιήσει περισσότερες ημέρες μηδέν από οποιαδήποτε άλλη ομάδα» από το 2016 έως το 2019.

Περίπου στο ίδιο χρονικό διάστημα, οι ερευνητές αποκάλυψαν τη χρήση από την ομάδα μιας κερκόπορτας που ονομάζεται Win32/StealthFalcon, η οποία χρησιμοποιούσε την υπηρεσία Windows Background Intelligent Transfer Service (BITS) για επικοινωνία εντολών και ελέγχου (C2) και για να αποκτήσει πλήρη έλεγχο σε ένα τελικό σημείο.

Σύμφωνα με μια σλοβακική εταιρεία κυβερνοασφάλειας, το Deadglyph είναι η πιο πρόσφατη προσθήκη στην εργαλειοθήκη του Stealth Falcon, που ανακαλύφθηκε κατά τη διάρκεια έρευνας για μια εισβολή σε μια άγνωστη κυβερνητική οντότητα στη Μέση Ανατολή.

Η συγκεκριμένη μέθοδος που χρησιμοποιείται για την ανάπτυξη του εμφυτεύματος παραμένει άγνωστη, αλλά το αρχικό στοιχείο που είναι υπεύθυνο για την ενεργοποίηση της εκτέλεσής του είναι ένας φορτωτής κώδικα κελύφους που εξάγει και φορτώνει κώδικα κελύφους από το Μητρώο των Windows. Αυτός ο φορτωτής εκκινεί στη συνέχεια την εγγενή μονάδα x64 του Deadglyph, που αναφέρεται ως Εκτελεστής. Στη συνέχεια, ο εκτελεστής προχωρά στη φόρτωση ενός στοιχείου .NET γνωστό ως Orchestrator, το οποίο επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2) για να περιμένει περαιτέρω οδηγίες. Το κακόβουλο λογισμικό χρησιμοποιεί επίσης διάφορες τεχνικές αποφυγής για να παραμείνει απαρατήρητο, συμπεριλαμβανομένης της δυνατότητας απεγκατάστασης.