Backdoor del glifo morto schierato dall'APT Stealth Falcon
Gli esperti di sicurezza informatica hanno scoperto una backdoor segreta avanzata chiamata Deadglyph, che in precedenza non era stata scoperta e utilizzata dall'attore di minacce Stealth Falcon come parte di un'operazione di spionaggio informatico.
In un recente rapporto condiviso con la piattaforma di sicurezza informatica The Hacker News, i ricercatori di sicurezza hanno notato che la struttura di Deadglyph non è convenzionale a causa della sua collaborazione tra due componenti: un binario x64 nativo e un assembly .NET. Ciò si distingue perché il malware tipico si basa su un unico linguaggio di programmazione per i suoi elementi. Questa divergenza può suggerire sforzi di sviluppo separati per questi componenti, sfruttando al tempo stesso aspetti unici dei linguaggi di programmazione che utilizzano.
C'è anche il sospetto che l'uso di linguaggi di programmazione distinti serva come tattica deliberata per impedire l'analisi, rendendo notevolmente più difficile la navigazione e il debug.
A differenza di altre backdoor tradizionali di questo tipo, Deadglyph riceve i comandi sotto forma di moduli aggiuntivi da un server controllato dall'autore della minaccia. Questi moduli consentono alla backdoor di avviare nuovi processi, accedere a file e raccogliere dati da sistemi compromessi.
Attività precedente di Stealth Falcon
Stealth Falcon, noto anche come FruityArmor, ha attirato l'attenzione del pubblico per la prima volta nel 2016, quando Citizen Lab lo ha collegato a una serie di attacchi spyware mirati in Medio Oriente. Questi attacchi hanno preso di mira giornalisti, attivisti e dissidenti negli Emirati Arabi Uniti, utilizzando tattiche di spear-phishing che coinvolgono collegamenti con trappole esplosive all'interno di documenti carichi di macro per fornire un impianto personalizzato in grado di eseguire comandi arbitrari.
Una successiva indagine di Reuters nel 2019 ha scoperto Project Raven, un’operazione segreta che coinvolge ex membri dell’intelligence statunitense reclutati dalla società di sicurezza informatica DarkMatter per spiare entità critiche nei confronti della monarchia araba. Ci sono forti indicazioni che Stealth Falcon e Project Raven siano la stessa cosa, data la sovrapposizione di tattiche e obiettivi.
Da allora il gruppo è stato collegato allo sfruttamento delle vulnerabilità zero-day di Windows, come CVE-2018-8611 e CVE-2019-0797. Nell'aprile 2020, Mandiant ha riferito che questo gruppo di spionaggio aveva "utilizzato più zero-day di qualsiasi altro gruppo" dal 2016 al 2019.
Più o meno nello stesso periodo, i ricercatori hanno rivelato l'uso da parte del gruppo di una backdoor chiamata Win32/StealthFalcon, che utilizzava il servizio di trasferimento intelligente in background di Windows (BITS) per la comunicazione comando e controllo (C2) e per ottenere il pieno controllo su un endpoint.
Secondo una società di sicurezza informatica slovacca, Deadglyph è l'ultima aggiunta al toolkit di Stealth Falcon, scoperta durante un'indagine su un'intrusione in un ente governativo sconosciuto in Medio Oriente.
Il metodo specifico utilizzato per implementare l'impianto rimane sconosciuto, ma il componente iniziale responsabile dell'attivazione della sua esecuzione è un caricatore di shellcode che estrae e carica lo shellcode dal registro di Windows. Questo caricatore avvia successivamente il modulo x64 nativo di Deadglyph, denominato Executor. L'Esecutore procede quindi a caricare un componente .NET noto come Orchestrator, che comunica con il server di comando e controllo (C2) in attesa di ulteriori istruzioni. Il malware impiega inoltre varie tecniche evasive per non essere rilevato, inclusa la capacità di disinstallarsi.
