Deadglyph Backdoor įdiegė Stealth Falcon APT

Kibernetinio saugumo ekspertai atskleidė pažangias slaptas užpakalines duris, pavadintas „Deadglyph“, kurios anksčiau neatrasdavo ir naudojo grėsmių veikėjas Stealth Falcon, vykdydamas kibernetinio šnipinėjimo operaciją.

Neseniai paskelbtoje ataskaitoje, kuri buvo pasidalinta su kibernetinio saugumo platforma „The Hacker News“, saugumo tyrinėtojai pažymėjo, kad „Deadglyph“ struktūra yra netradicinė dėl dviejų komponentų bendradarbiavimo: vietinio x64 dvejetainio ir .NET agregato. Tai išsiskiria tuo, kad tipinės kenkėjiškos programos savo elementams priklauso nuo vienos programavimo kalbos. Šis skirtumas gali reikšti atskiras šių komponentų kūrimo pastangas, kartu išnaudojant unikalius jų naudojamų programavimo kalbų aspektus.

Taip pat kyla įtarimų, kad skirtingų programavimo kalbų naudojimas yra tyčinė taktika, trukdanti analizei, todėl naršymas ir derinimas tampa daug sudėtingesnis.

Skirtingai nuo kitų įprastų tokio tipo užpakalinių durų, „Deadglyph“ gauna komandas iš serverio, kurį valdo grėsmės veikėjas, ir pateikiamas papildomų modulių pavidalu. Šie moduliai leidžia užpakalinėms durims pradėti naujus procesus, pasiekti failus ir rinkti duomenis iš pažeistų sistemų.

„Stealth Falcon“ ankstesnė veikla

„Stealth Falcon“, dar žinomas kaip „FruityArmor“, pirmą kartą visuomenės dėmesį patraukė 2016 m., kai „Citizen Lab“ susiejo jį su keletu tikslinių šnipinėjimo programų atakų Artimuosiuose Rytuose. Šios atakos buvo nukreiptos prieš žurnalistus, aktyvistus ir disidentus JAE, panaudojant sukčiavimo spygliu taktiką, apimančią makrokomandų kupinuose dokumentuose esančias nuorodas, kad būtų pristatytas individualus implantas, galintis vykdyti savavališkas komandas.

Vėlesnis „Reuters“ tyrimas 2019 m. atskleidė „Project Raven“ – slaptą operaciją, kurioje dalyvavo buvę JAV žvalgybos darbuotojai, kuriuos kibernetinio saugumo įmonė „DarkMatter“ užverbavo šnipinėti subjektus, kritikuojančius arabų monarchiją. Yra rimtų požymių, kad „Stealth Falcon“ ir „Project Raven“ yra vienas ir tas pats, atsižvelgiant į jų sutampančius veiksmus ir tikslus.

Nuo tada grupė buvo siejama su nulinės dienos pažeidžiamumų sistemoje „Windows“, tokių kaip CVE-2018-8611 ir CVE-2019-0797, išnaudojimu. 2020 m. balandį „Mandiant“ pranešė, kad ši šnipinėjimo grupė „naudojo daugiau nulinių dienų nei bet kuri kita grupė“ nuo 2016 iki 2019 m.

Maždaug tuo pačiu laikotarpiu mokslininkai atskleidė, kad grupė naudojo užpakalines duris, pavadintas Win32/StealthFalcon, kuri naudojo Windows Background Intelligent Transfer Service (BITS) komandų ir valdymo (C2) ryšiui ir visiškam galutinio taško valdymui.

Anot Slovakijos kibernetinio saugumo įmonės, „Deadglyph“ yra naujausias „Stealth Falcon“ įrankių rinkinio papildymas, aptiktas atliekant įsibrovimo į neatskleidžiamą vyriausybinį subjektą Artimuosiuose Rytuose metu.

Konkretus metodas, naudojamas implantui įdiegti, lieka nežinomas, tačiau pradinis komponentas, atsakingas už jo vykdymo aktyvavimą, yra apvalkalo kodo įkroviklis, kuris ištraukia ir įkelia apvalkalo kodą iš „Windows“ registro. Šis įkroviklis vėliau paleidžia vietinį „Deadglyph“ x64 modulį, vadinamą vykdytoju. Tada vykdytojas pradeda įkelti .NET komponentą, žinomą kaip Orchestrator, kuris palaiko ryšį su komandų ir valdymo (C2) serveriu ir laukia tolesnių nurodymų. Kenkėjiška programinė įranga taip pat naudoja įvairius vengimo būdus, kad liktų nepastebėta, įskaitant galimybę pašalinti save.