Κακόβουλο λογισμικό Stealth Soldier που χρησιμοποιείται στην Κυβερνοκατασκοπεία

Στη Βόρεια Αφρική, μια σειρά από εξαιρετικά στοχευμένες επιθέσεις κατασκοπείας έχουν πραγματοποιηθεί χρησιμοποιώντας μια νέα κερκόπορτα που ονομάζεται Stealth Soldier.

Η εταιρεία κυβερνοασφάλειας Check Point, σε μια τεχνική έκθεση, περιέγραψε το Stealth Soldier ως μια προσαρμοσμένη κερκόπορτα που λειτουργεί κυρίως για σκοπούς επιτήρησης. Οι λειτουργίες του περιλαμβάνουν την εξαγωγή αρχείων, την εγγραφή δραστηριοτήτων οθόνης και μικροφώνου, καταγραφή πατημάτων πλήκτρων και κλοπή πληροφοριών προγράμματος περιήγησης.

Η εν εξελίξει επιχείρηση περιλαμβάνει τη χρήση διακομιστών εντολής και ελέγχου που μιμούνται ιστοσελίδες που ανήκουν στο Υπουργείο Εξωτερικών της Λιβύης. Τα πρώτα σημάδια αυτής της εκστρατείας μπορούν να εντοπιστούν στον Οκτώβριο του 2022.

Οι επιθέσεις ξεκινούν με πιθανούς στόχους που κατεβάζουν πλαστά δυαδικά προγράμματα λήψης μέσω τακτικών κοινωνικής μηχανικής. Αυτά τα ενδιάμεσα ωφέλιμα φορτία χρησιμεύουν ως κανάλι για την απόκτηση Stealth Soldier ενώ ταυτόχρονα εμφανίζουν ένα αρχείο PDF decoy.

Το Stealth Soldier, ένα προσαρμοσμένο αρθρωτό εμφύτευμα, πιστεύεται ότι χρησιμοποιείται με φειδώ. Ενισχύει τις δυνατότητες επιτήρησης συλλέγοντας λίστες καταλόγων και διαπιστευτήρια προγράμματος περιήγησης, καταγράφοντας πατήματα πλήκτρων, εγγραφή ήχου από το μικρόφωνο, λήψη στιγμιότυπων οθόνης, μεταφόρτωση αρχείων και εκτέλεση εντολών PowerShell. Το Check Point αποκάλυψε ότι το κακόβουλο λογισμικό χρησιμοποιεί διαφορετικούς τύπους εντολών, συμπεριλαμβανομένων των προσθηκών που έχουν ληφθεί από τον διακομιστή εντολών και ελέγχου και τις εσωτερικές μονάδες.

Stealth Soldier Ενημερώθηκε ακόμα ενεργά

Η ανακάλυψη τριών εκδόσεων του Stealth Soldier υποδηλώνει ότι οι χειριστές το διατηρούν και το ενημερώνουν ενεργά.

Ενώ ορισμένα στοιχεία του κακόβουλου λογισμικού δεν είναι πλέον προσβάσιμα, οι προσθήκες καταγραφής οθόνης και κλοπής διαπιστευτηρίων του προγράμματος περιήγησης λέγεται ότι έχουν εμπνευστεί από έργα ανοιχτού κώδικα που βρέθηκαν στο GitHub.

Επιπλέον, η υποδομή που υποστηρίζει το Stealth Soldier παρουσιάζει ομοιότητες με την υποδομή που χρησιμοποιήθηκε σε μια προηγούμενη εκστρατεία phishing που ονομάζεται Eye on the Nile, η οποία στόχευε Αιγύπτιους δημοσιογράφους και ακτιβιστές ανθρωπίνων δικαιωμάτων το 2019.

Αυτή η πρόσφατη εξέλιξη υποδηλώνει την πιθανή επανεμφάνιση του πρωταγωνιστή απειλών που εμπλέκεται στο Eye on the Nile. Υποδεικνύει ότι η ομάδα επικεντρώνεται σε δραστηριότητες επιτήρησης που στοχεύουν αιγυπτιακές και λιβυκές οντότητες.