Stealth Falcon APT によって導入された Deadglyph バックドア

サイバーセキュリティの専門家は、これまで発見されず、サイバースパイ活動の一環として脅威アクター ステルス ファルコンによって利用されていた Deadglyph と呼ばれる高度な秘密バックドアを発見しました。

サイバーセキュリティ プラットフォームである The Hacker News と共有した最近のレポートの中で、セキュリティ研究者らは、Deadglyph の構造はネイティブ x64 バイナリと .NET アセンブリという 2 つのコンポーネント間の連携により型破りであると指摘しました。これは、典型的なマルウェアがその要素を単一のプログラミング言語に依存しているため、顕著です。この相違は、これらのコンポーネントが使用するプログラミング言語の独自の側面を活用しながら、これらのコンポーネントを個別に開発する必要があることを示唆している可能性があります。

また、個別のプログラミング言語の使用が分析を妨げる意図的な戦術として機能し、操作やデバッグがかなり困難になっているのではないかという疑いもあります。

同種の他の従来のバックドアとは対照的に、Deadglyph は、追加モジュールの形式で配信される、脅威アクターが制御するサーバーからコマンドを受け取ります。これらのモジュールにより、バックドアは新しいプロセスを開始し、ファイルにアクセスし、侵害されたシステムからデータを収集できます。

ステルスファルコンのこれまでの活動

FruityArmor としても知られる Stealth Falcon は、2016 年に Citizen Lab が中東における一連の標的型スパイウェア攻撃に関連付けたことで、初めて世間の注目を集めました。これらの攻撃は、アラブ首長国連邦（UAE）のジャーナリスト、活動家、反体制派を標的とし、マクロを含む文書内のブービートラップされたリンクを含むスピアフィッシング戦術を利用して、任意のコマンドを実行できるカスタムインプラントを配信しました。

2019年のロイター通信によるその後の調査で、アラブ君主制に批判的な団体をスパイする目的でサイバーセキュリティ会社ダークマターに採用された元米国諜報員らによる秘密作戦「プロジェクト・レイヴン」が明らかになった。重複する戦術と目標を考慮すると、ステルス ファルコンとプロジェクト レイヴンは同一であるという強い兆候があります。

それ以来、このグループは CVE-2018-8611 や CVE-2019-0797 などの Windows のゼロデイ脆弱性の悪用に関連していると考えられています。 2020年4月、マンディアントは、このスパイ集団が2016年から2019年にかけて「他のどの集団よりも多くのゼロデイを利用していた」と報告した。

同じ時期に、研究者らは、このグループが Win32/StealthFalcon と呼ばれるバックドアを使用していることを明らかにしました。このバックドアは、コマンド アンド コントロール (C2) 通信に Windows バックグラウンド インテリジェント転送サービス (BITS) を利用し、エンドポイントを完全に制御するために使用されていました。

スロバキアのサイバーセキュリティ会社によると、DeadglyphはStealth Falconのツールキットに新たに追加されたもので、中東の非公開政府機関への侵入に関する調査中に発見されたという。

インプラントの展開に使用される具体的な方法は不明のままですが、その実行をアクティブ化する最初のコンポーネントは、Windows レジストリからシェルコードを抽出してロードするシェルコード ローダーです。このローダーはその後、Executor と呼ばれる Deadglyph のネイティブ x64 モジュールを起動します。次に、Executor は Orchestrator として知られる .NET コンポーネントのロードを開始します。Orchestrator はコマンド アンド コントロール (C2) サーバーと通信してさらなる指示を待ちます。このマルウェアは、自身をアンインストールする機能など、検出されないようにさまざまな回避手法も採用しています。