Stealth Soldier-malware gebruikt bij cyberspionage

In Noord-Afrika is een reeks zeer gerichte spionageaanvallen uitgevoerd met behulp van een nieuw ontwikkelde achterdeur genaamd Stealth Soldier.

Het cyberbeveiligingsbedrijf Check Point beschreef Stealth Soldier in een technisch rapport als een op maat gemaakte achterdeur die voornamelijk voor bewakingsdoeleinden werkt. De functies omvatten het extraheren van bestanden, het opnemen van scherm- en microfoonactiviteiten, het loggen van toetsaanslagen en het stelen van browserinformatie.

De lopende operatie omvat het gebruik van command-and-control-servers die websites van het Libische ministerie van Buitenlandse Zaken nabootsen. De eerste tekenen van deze campagne zijn terug te voeren tot oktober 2022.

De aanvallen beginnen met potentiële doelen die nep-downloader-binaries downloaden via social engineering-tactieken. Deze tussenliggende payloads dienen als een kanaal voor het verkrijgen van Stealth Soldier terwijl tegelijkertijd een lokaas-pdf-bestand wordt weergegeven.

Stealth Soldier, een op maat gemaakt modulair implantaat, wordt verondersteld spaarzaam te worden gebruikt. Het maakt bewakingsmogelijkheden mogelijk door directoryvermeldingen en browserreferenties te verzamelen, toetsaanslagen vast te leggen, audio van de microfoon op te nemen, schermafbeeldingen te maken, bestanden te uploaden en PowerShell-opdrachten uit te voeren. Check Point onthulde dat de malware verschillende soorten commando's gebruikt, waaronder plug-ins die zijn gedownload van de command-and-control-server en interne modules.

Stealth Soldier wordt nog steeds actief bijgewerkt

De ontdekking van drie versies van Stealth Soldier suggereert dat de operators het actief onderhouden en updaten.

Hoewel sommige componenten van de malware niet langer toegankelijk zijn, zouden de plug-ins voor het vastleggen van schermen en het stelen van browserreferenties zijn geïnspireerd door open source-projecten die op GitHub zijn gevonden.

Bovendien vertoont de infrastructuur die Stealth Soldier ondersteunt overeenkomsten met de infrastructuur die werd gebruikt in een eerdere phishing-campagne genaamd Eye on the Nile, die in 2019 gericht was op Egyptische journalisten en mensenrechtenactivisten.

Deze recente ontwikkeling suggereert de mogelijke heropkomst van de dreigingsactor die betrokken is bij Eye on the Nile. Het geeft aan dat de groep zich richt op bewakingsactiviteiten gericht op Egyptische en Libische entiteiten.