Porte dérobée Deadglyph déployée par Stealth Falcon APT
Des experts en cybersécurité ont découvert une porte dérobée secrète avancée appelée Deadglyph, qui n'avait pas été découverte auparavant et qui était utilisée par l'acteur malveillant Stealth Falcon dans le cadre d'une opération de cyberespionnage.
Dans un rapport récent partagé avec la plateforme de cybersécurité The Hacker News, des chercheurs en sécurité ont noté que la structure de Deadglyph n'est pas conventionnelle en raison de sa collaboration entre deux composants : un binaire x64 natif et un assemblage .NET. Cela se démarque car les logiciels malveillants typiques s’appuient sur un seul langage de programmation pour leurs éléments. Cette divergence peut suggérer des efforts de développement distincts pour ces composants tout en exploitant également les aspects uniques des langages de programmation qu'ils utilisent.
On soupçonne également que l'utilisation de langages de programmation distincts constitue une tactique délibérée pour entraver l'analyse, ce qui rend la navigation et le débogage considérablement plus difficiles.
Contrairement aux autres portes dérobées conventionnelles de ce type, Deadglyph reçoit des commandes d'un serveur contrôlé par l'acteur menaçant, délivrées sous la forme de modules supplémentaires. Ces modules permettent à la porte dérobée de lancer de nouveaux processus, d'accéder aux fichiers et de collecter des données à partir de systèmes compromis.
Activité précédente de Stealth Falcon
Stealth Falcon, également connu sous le nom de FruityArmor, a attiré l'attention du public pour la première fois en 2016 lorsque Citizen Lab l'a connecté à une série d'attaques ciblées de logiciels espions au Moyen-Orient. Ces attaques ciblaient des journalistes, des militants et des dissidents aux Émirats arabes unis, utilisant des tactiques de spear phishing impliquant des liens piégés dans des documents chargés de macros pour fournir un implant personnalisé capable d'exécuter des commandes arbitraires.
Une enquête ultérieure menée par Reuters en 2019 a révélé le projet Raven, une opération secrète impliquant d'anciens membres du renseignement américain recrutés par la société de cybersécurité DarkMatter pour espionner les entités critiques à l'égard de la monarchie arabe. Il y a de fortes indications que Stealth Falcon et Project Raven ne font qu'un, étant donné leurs tactiques et leurs cibles qui se chevauchent.
Depuis lors, le groupe est lié à l'exploitation de vulnérabilités zero-day dans Windows, telles que CVE-2018-8611 et CVE-2019-0797. En avril 2020, Mandiant a rapporté que ce groupe d'espionnage avait « utilisé plus de zero-day que tout autre groupe » de 2016 à 2019.
À peu près au même moment, les chercheurs ont révélé que le groupe utilisait une porte dérobée appelée Win32/StealthFalcon, qui utilisait le service de transfert intelligent en arrière-plan (BITS) de Windows pour la communication de commande et de contrôle (C2) et pour obtenir un contrôle total sur un point final.
Selon une société de cybersécurité slovaque, Deadglyph est le dernier ajout à la boîte à outils de Stealth Falcon, découvert lors d'une enquête sur une intrusion dans une entité gouvernementale non divulguée au Moyen-Orient.
La méthode spécifique utilisée pour déployer l'implant reste inconnue, mais le composant initial responsable de l'activation de son exécution est un chargeur de shellcode qui extrait et charge le shellcode du registre Windows. Ce chargeur lance ensuite le module x64 natif de Deadglyph, appelé Executor. L'exécuteur procède ensuite au chargement d'un composant .NET appelé Orchestrator, qui communique avec le serveur de commande et de contrôle (C2) pour attendre des instructions supplémentaires. Le logiciel malveillant utilise également diverses techniques d'évasion pour rester indétectable, notamment la possibilité de se désinstaller.
