サイバースパイ活動に使用されるステルス ソルジャー マルウェア

北アフリカでは、ステルス・ソルジャーと呼ばれる新しく開発されたバックドアを使用して、標的を絞った一連のスパイ攻撃が実行されました。

サイバーセキュリティ企業チェック・ポイントは、技術レポートの中で、ステルス・ソルジャーは主に監視目的で動作するカスタム・バックドアであると説明した。その機能には、ファイルの抽出、画面とマイクのアクティビティの記録、キーストロークの記録、ブラウザ情報の盗用などが含まれます。

進行中の作戦には、リビア外務省に属するウェブサイトを模倣した指揮統制サーバーの使用が含まれています。このキャンペーンの最も初期の兆候は、2022 年 10 月にまで遡ることができます。

この攻撃は、潜在的なターゲットがソーシャル エンジニアリング戦術を通じて偽のダウンローダー バイナリをダウンロードすることから始まります。これらの中間ペイロードは、おとり PDF ファイルを表示しながら、ステルス ソルジャーを取得するためのチャネルとして機能します。

カスタムモジュール式インプラントであるステルスソルジャーは、控えめに使用されていると考えられています。ディレクトリのリストとブラウザーの資格情報の収集、キーストロークのキャプチャ、マイクからの音声の録音、スクリーンショットの取得、ファイルのアップロード、PowerShell コマンドの実行により、監視機能が強化されます。チェック・ポイントは、このマルウェアがコマンドアンドコントロールサーバーや内部モジュールからダウンロードされたプラグインなど、さまざまな種類のコマンドを使用していることを明らかにしました。

ステルスソルジャーは現在も積極的にアップデートされています

Stealth Soldier の 3 つのバージョンの発見は、オペレーターがそれを積極的に保守および更新していることを示唆しています。

マルウェアの一部のコンポーネントはアクセスできなくなっていますが、画面キャプチャとブラウザ認証情報を盗むプラグインは、GitHub で見つかったオープンソース プロジェクトからインスピレーションを得たものであると言われています。

さらに、ステルス ソルジャーをサポートするインフラストラクチャは、2019 年にエジプトのジャーナリストと人権活動家を標的とした「Eye on the Nile」と呼ばれる以前のフィッシング キャンペーンで使用されたインフラストラクチャとの類似性を示しています。

この最近の動向は、「ナイルの目」に関与する脅威アクターが再び出現する可能性を示唆しています。これは、同グループがエジプトとリビアの実体を標的とした監視活動に焦点を当てていることを示している。