Deadglyph Backdoor, amelyet a Stealth Falcon APT telepített

Kiberbiztonsági szakértők feltárták a Deadglyph nevű fejlett rejtett hátsó ajtót, amelyet korábban a Stealth Falcon fenyegetettség szereplője használt fel egy kiberkémkedés részeként.

A The Hacker News kiberbiztonsági platformmal megosztott közelmúltbeli jelentésében a biztonsági kutatók megjegyezték, hogy a Deadglyph felépítése nem szokványos, mivel két összetevő – egy natív x64-es bináris és egy .NET-összeállítás – együttműködése szokatlan. Ez azért tűnik ki, mert a tipikus rosszindulatú programok egyetlen programozási nyelvre támaszkodnak elemeihez. Ez az eltérés külön fejlesztési erőfeszítéseket sugallhat ezekhez az összetevőkhöz, miközben az általuk használt programozási nyelvek egyedi szempontjait is kihasználja.

Felmerül az a gyanú, hogy a különböző programozási nyelvek használata szándékos taktikaként szolgál az elemzés akadályozására, ami jelentősen megnehezíti a navigációt és a hibakeresést.

A többi hagyományos hátsó ajtóval ellentétben a Deadglyph parancsokat kap a fenyegetés szereplője által irányított szervertől, további modulok formájában. Ezek a modulok lehetővé teszik a hátsó ajtó számára, hogy új folyamatokat kezdeményezzen, hozzáférjen a fájlokhoz, és adatokat gyűjtsön a feltört rendszerekről.

Stealth Falcon korábbi tevékenysége

A Stealth Falcon, más néven FruityArmor először 2016-ban került a nyilvánosság elé, amikor a Citizen Lab egy sor célzott kémprogram-támadáshoz kapcsolta a Közel-Keleten. Ezek a támadások az Egyesült Arab Emírségek újságíróit, aktivistáit és disszidenseit célozták meg, lándzsás adathalász taktikákat alkalmazva, beleértve a makrókkal terhelt dokumentumokon belüli csapdába esett linkeket, hogy tetszőleges parancsok végrehajtására képes egyedi implantátumot szállítsanak.

A Reuters ezt követő, 2019-es vizsgálata feltárta a Project Raven-et, egy titkos műveletet, amelyben volt amerikai hírszerzési alkalmazottak vettek részt, akiket a DarkMatter kiberbiztonsági cég toborzott, hogy kémkedjenek az arab monarchiát kritizáló entitások után. Erős jelek mutatnak arra, hogy a Stealth Falcon és a Project Raven egy és ugyanaz, tekintve egymást átfedő taktikájukat és célpontjaikat.

Azóta a csoportot a Windows nulladik napi sebezhetőségeinek, például a CVE-2018-8611 és a CVE-2019-0797 kiaknázásával hozták kapcsolatba. 2020 áprilisában a Mandiant arról számolt be, hogy ez a kémcsoport "több nulla napot használt, mint bármely más csoport" 2016 és 2019 között.

Körülbelül ugyanebben az időkeretben a kutatók felfedték, hogy a csoport a Win32/StealthFalcon nevű hátsó ajtót használta, amely a Windows Background Intelligent Transfer Service (BITS) szolgáltatást használta a parancs- és vezérlési (C2) kommunikációhoz és egy végpont feletti teljes irányítás megszerzéséhez.

Egy szlovák kiberbiztonsági cég szerint a Deadglyph a Stealth Falcon eszköztárának legújabb kiegészítője, amelyet egy közel-keleti kormányzati szervezet behatolásának vizsgálata során fedeztek fel.

Az implantátum behelyezéséhez használt konkrét módszer továbbra is ismeretlen, de a végrehajtás aktiválásáért felelős kezdeti összetevő egy shellcode-betöltő, amely kibontja és betölti a shellkódot a Windows rendszerleíró adatbázisából. Ez a betöltő ezt követően elindítja a Deadglyph natív x64 modulját, amelyet végrehajtónak neveznek. A végrehajtó ezután betölti az Orchestrator néven ismert .NET-összetevőt, amely kommunikál a parancs- és vezérlőkiszolgálóval (C2), és várja a további utasításokat. A rosszindulatú program különféle kitérő technikákat is alkalmaz, hogy észrevétlen maradjon, beleértve az önmaga eltávolításának képességét is.