Stealth Soldier Malware brukt i nettspionasje

I Nord-Afrika har en rekke svært målrettede spionasjeangrep blitt utført ved hjelp av en nyutviklet bakdør kalt Stealth Soldier.

Nettsikkerhetsfirmaet Check Point beskrev i en teknisk rapport Stealth Soldier som en tilpasset bakdør som primært opererer for overvåkingsformål. Funksjonene inkluderer å trekke ut filer, ta opp skjerm- og mikrofonaktiviteter, logge tastetrykk og stjele nettleserinformasjon.

Den pågående operasjonen innebærer bruk av kommando-og-kontroll-servere som etterligner nettsteder som tilhører det libyske utenriksdepartementet. De tidligste tegnene på denne kampanjen kan spores tilbake til oktober 2022.

Angrepene begynner med potensielle mål som laster ned falske nedlastningsbinærfiler gjennom sosial ingeniørtaktikk. Disse mellomnyttelastene fungerer som en kanal for å skaffe Stealth Soldier mens de samtidig viser en lokke-PDF-fil.

Stealth Soldier, et tilpasset modulært implantat, antas å bli brukt sparsomt. Den styrker overvåkingsfunksjoner ved å samle katalogoppføringer og nettleserlegitimasjon, fange tastetrykk, ta opp lyd fra mikrofonen, ta skjermbilder, laste opp filer og utføre PowerShell-kommandoer. Check Point avslørte at skadelig programvare bruker forskjellige typer kommandoer, inkludert plugins lastet ned fra kommando-og-kontroll-serveren og interne moduler.

Stealth Soldier fortsatt aktivt oppdatert

Oppdagelsen av tre versjoner av Stealth Soldier antyder at operatørene aktivt vedlikeholder og oppdaterer den.

Mens noen komponenter av skadelig programvare ikke lenger er tilgjengelige, sies pluginene for skjermfangst og nettleserlegitimasjon å ha blitt inspirert av åpen kildekode-prosjekter funnet på GitHub.

Videre viser infrastrukturen som støtter Stealth Soldier likheter med infrastrukturen som ble brukt i en tidligere phishing-kampanje kalt Eye on the Nile, som var rettet mot egyptiske journalister og menneskerettighetsaktivister i 2019.

Denne nylige utviklingen antyder den potensielle gjenoppkomsten av trusselaktøren involvert i Eye on the Nile. Det indikerer at gruppen er fokusert på overvåkingsaktiviteter rettet mot egyptiske og libyske enheter.