Kiberkémkedésben használt lopakodó katona rosszindulatú program

Észak-Afrikában egy sor erősen célzott kémtámadást hajtottak végre egy új fejlesztésű, Stealth Soldier nevű hátsó ajtó segítségével.

A Check Point kiberbiztonsági cég egy technikai jelentésében a Stealth Soldiert egy egyedi hátsó ajtóként írta le, amely elsősorban megfigyelési célokat szolgál. Funkciói közé tartozik a fájlok kibontása, a képernyő- és mikrofontevékenységek rögzítése, a billentyűleütések naplózása és a böngészőadatok ellopása.

A folyamatban lévő művelet a líbiai külügyminisztériumhoz tartozó webhelyeket utánzó parancsnoki és vezérlőszerverek használatát foglalja magában. Ennek a kampánynak a legkorábbi jelei 2022 októberére tehetők.

A támadások azzal kezdődnek, hogy a potenciális célpontok hamis letöltő bináris fájlokat töltenek le social engineering taktikával. Ezek a köztes rakományok csatornaként szolgálnak a Stealth Soldier megszerzéséhez, miközben egy csali PDF fájlt jelenítenek meg.

A Stealth Soldiert, egy egyedi moduláris implantátumot vélhetően takarékosan használják. Felhatalmazza a felügyeleti képességeket azáltal, hogy összegyűjti a címtárlistákat és a böngésző hitelesítő adatait, rögzíti a billentyűleütéseket, rögzíti a hangot a mikrofonból, képernyőképeket készít, fájlokat tölt fel és PowerShell-parancsokat hajt végre. A Check Point feltárta, hogy a kártevő különböző típusú parancsokat alkalmaz, beleértve a parancs- és vezérlőszerverről letöltött bővítményeket és a belső modulokat.

A Stealth Soldier még mindig aktívan frissítve

A Stealth Soldier három verziójának felfedezése arra utal, hogy az üzemeltetők aktívan karbantartják és frissítik.

Bár a rosszindulatú program egyes összetevői már nem érhetők el, a képernyőrögzítő és a böngésző hitelesítő adatait ellopó bővítményeket állítólag a GitHubon található nyílt forráskódú projektek ihlették.

Ezenkívül a Stealth Soldiert támogató infrastruktúra hasonlóságot mutat az Eye on the Nile nevű korábbi adathalász kampányban használt infrastruktúrával, amely 2019-ben egyiptomi újságírókat és emberi jogi aktivistákat célzott meg.

Ez a közelmúltbeli fejlemény azt sugallja, hogy az Eye on the Nile-ben részt vevő fenyegető szereplő potenciálisan újra felbukkan. Azt jelzi, hogy a csoport az egyiptomi és líbiai entitásokat célzó megfigyelési tevékenységekre összpontosít.