Deadglyph Backdoor ingezet door Stealth Falcon APT

Cybersecurity-experts hebben een geavanceerde geheime achterdeur ontdekt, genaamd Deadglyph, die voorheen onontdekt was en werd gebruikt door de bedreigingsacteur Stealth Falcon als onderdeel van een cyberspionageoperatie.

In een recent rapport gedeeld met het cyberbeveiligingsplatform The Hacker News merkten beveiligingsonderzoekers op dat de structuur van Deadglyph onconventioneel is vanwege de samenwerking tussen twee componenten: een native x64 binary en een .NET-assembly. Dit valt op omdat typische malware voor zijn elementen afhankelijk is van één enkele programmeertaal. Dit verschil kan duiden op afzonderlijke ontwikkelingsinspanningen voor deze componenten, terwijl ook unieke aspecten van de programmeertalen die ze gebruiken worden benut.

Er bestaat ook het vermoeden dat het gebruik van verschillende programmeertalen dient als een doelbewuste tactiek om analyse te belemmeren, waardoor het aanzienlijk moeilijker wordt om te navigeren en fouten te debuggen.

In tegenstelling tot andere conventionele backdoors in zijn soort, ontvangt Deadglyph opdrachten van een server die wordt bestuurd door de bedreigingsacteur, geleverd in de vorm van extra modules. Met deze modules kan de achterdeur nieuwe processen initiëren, toegang krijgen tot bestanden en gegevens verzamelen van gecompromitteerde systemen.

Vorige activiteit van Stealth Falcon

Stealth Falcon, ook bekend als FruityArmor, kwam voor het eerst onder de publieke aandacht in 2016 toen Citizen Lab het in verband bracht met een reeks gerichte spyware-aanvallen in het Midden-Oosten. Deze aanvallen waren gericht op journalisten, activisten en dissidenten in de VAE, waarbij gebruik werd gemaakt van spearphishing-tactieken waarbij boobytraps-koppelingen in met macro's beladen documenten werden gebruikt om een aangepast implantaat te leveren dat willekeurige opdrachten kon uitvoeren.

Een daaropvolgend onderzoek door Reuters in 2019 bracht Project Raven aan het licht, een geheime operatie waarbij voormalig Amerikaans inlichtingenpersoneel betrokken was dat door het cyberbeveiligingsbedrijf DarkMatter was gerekruteerd om entiteiten te bespioneren die kritisch stonden tegenover de Arabische monarchie. Er zijn sterke aanwijzingen dat Stealth Falcon en Project Raven één en dezelfde zijn, gezien hun overlappende tactieken en doelen.

Sindsdien wordt de groep in verband gebracht met de exploitatie van zero-day-kwetsbaarheden in Windows, zoals CVE-2018-8611 en CVE-2019-0797. In april 2020 meldde Mandiant dat deze spionagegroep van 2016 tot 2019 "meer zero-days had gebruikt dan welke andere groep dan ook".

Rond hetzelfde tijdsbestek onthulden onderzoekers dat de groep een achterdeur gebruikte genaamd Win32/StealthFalcon, die gebruik maakte van de Windows Background Intelligent Transfer Service (BITS) voor command-and-control (C2)-communicatie en om volledige controle over een eindpunt te krijgen.

Volgens een Slowaaks cyberbeveiligingsbedrijf is Deadglyph de nieuwste toevoeging aan de toolkit van Stealth Falcon, ontdekt tijdens een onderzoek naar een inbraak bij een niet nader genoemde overheidsinstantie in het Midden-Oosten.

De specifieke methode die wordt gebruikt om het implantaat in te zetten blijft onbekend, maar het initiële onderdeel dat verantwoordelijk is voor het activeren van de uitvoering ervan is een shellcode-lader die shellcode uit het Windows-register haalt en laadt. Deze lader lanceert vervolgens de native x64-module van Deadglyph, ook wel de Executor genoemd. De Executor gaat vervolgens verder met het laden van een .NET-component, bekend als de Orchestrator, die communiceert met de command-and-control (C2)-server in afwachting van verdere instructies. De malware maakt ook gebruik van verschillende ontwijkende technieken om onopgemerkt te blijven, waaronder de mogelijkheid om zichzelf te verwijderen.