Deadglyph Backdoor Utplassert av Stealth Falcon APT

Eksperter på nettsikkerhet har avdekket en avansert skjult bakdør kalt Deadglyph, som tidligere var uoppdaget og brukt av trusselaktøren Stealth Falcon som en del av en cyberspionasjeoperasjon.

I en nylig rapport delt med cybersikkerhetsplattformen The Hacker News, bemerket sikkerhetsforskere at Deadglyphs struktur er ukonvensjonell på grunn av samarbeidet mellom to komponenter: en innfødt x64-binær og en .NET-montering. Dette skiller seg ut fordi typisk skadelig programvare er avhengig av et enkelt programmeringsspråk for elementene. Denne divergensen kan foreslå separate utviklingsinnsats for disse komponentene, samtidig som de utnytter unike aspekter ved programmeringsspråkene de bruker.

Det er også mistanke om at bruken av distinkte programmeringsspråk fungerer som en bevisst taktikk for å hindre analyse, noe som gjør det betydelig mer utfordrende å navigere og feilsøke.

I motsetning til andre konvensjonelle bakdører av sitt slag, mottar Deadglyph kommandoer fra en server kontrollert av trusselaktøren, levert i form av tilleggsmoduler. Disse modulene gjør det mulig for bakdøren å starte nye prosesser, få tilgang til filer og samle data fra kompromitterte systemer.

Stealth Falcons tidligere aktivitet

Stealth Falcon, også kjent som FruityArmor, kom først til offentlig oppmerksomhet i 2016 da Citizen Lab koblet den til en serie målrettede spyware-angrep i Midtøsten. Disse angrepene var rettet mot journalister, aktivister og dissidenter i De forente arabiske emirater, ved å bruke spyd-phishing-taktikker som involverer booby-fangede lenker i makroladede dokumenter for å levere et tilpasset implantat som er i stand til å utføre vilkårlige kommandoer.

En påfølgende etterforskning av Reuters i 2019 avdekket Project Raven, en hemmelig operasjon som involverte tidligere amerikansk etterretningspersonell som ble rekruttert av nettsikkerhetsfirmaet DarkMatter for å spionere på enheter som er kritiske til det arabiske monarkiet. Det er sterke indikasjoner på at Stealth Falcon og Project Raven er en og samme, gitt deres overlappende taktikk og mål.

Siden den gang har gruppen vært knyttet til utnyttelse av nulldagssårbarheter i Windows, slik som CVE-2018-8611 og CVE-2019-0797. I april 2020 rapporterte Mandiant at denne spionasjegruppen hadde "brukt flere nulldager enn noen annen gruppe" fra 2016 til 2019.

Omtrent samme tidsramme avslørte forskere gruppens bruk av en bakdør kalt Win32/StealthFalcon, som brukte Windows Background Intelligent Transfer Service (BITS) for kommando-og-kontroll (C2) kommunikasjon og for å få full kontroll over et endepunkt.

I følge et slovakisk cybersikkerhetsfirma er Deadglyph det siste tilskuddet til Stealth Falcons verktøysett, oppdaget under en etterforskning av et innbrudd i en ikke avslørt statlig enhet i Midtøsten.

Den spesifikke metoden som brukes for å distribuere implantatet forblir ukjent, men den første komponenten som er ansvarlig for å aktivere utførelsen er en shellcode-laster som trekker ut og laster inn shellcode fra Windows-registeret. Denne lasteren lanserer deretter Deadglyphs opprinnelige x64-modul, referert til som Executor. Utføreren fortsetter deretter med å laste en .NET-komponent kjent som Orchestrator, som kommuniserer med kommando-og-kontroll-serveren (C2) for å avvente ytterligere instruksjoner. Skadevaren bruker også ulike unnvikende teknikker for å forbli uoppdaget, inkludert muligheten til å avinstallere seg selv.