Backdoor Deadglyph wdrożony przez Stealth Falcon APT

Eksperci ds. cyberbezpieczeństwa odkryli zaawansowanego tajnego backdoora o nazwie Deadglyph, który wcześniej nie został odkryty i wykorzystany przez ugrupowanie zagrażające Stealth Falcon w ramach operacji cyberszpiegowskiej.

W niedawnym raporcie udostępnionym platformie cyberbezpieczeństwa The Hacker News badacze bezpieczeństwa zauważyli, że struktura Deadglyph jest niekonwencjonalna ze względu na współpracę między dwoma komponentami: natywnym plikiem binarnym x64 i zespołem .NET. Wyróżnia się to tym, że typowe złośliwe oprogramowanie opiera się na swoich elementach w jednym języku programowania. Ta rozbieżność może sugerować oddzielne wysiłki rozwojowe dla tych komponentów, przy jednoczesnym wykorzystaniu unikalnych aspektów używanych w nich języków programowania.

Istnieje również podejrzenie, że użycie odrębnych języków programowania służy jako celowa taktyka utrudniająca analizę, co znacznie utrudnia nawigację i debugowanie.

W przeciwieństwie do innych konwencjonalnych backdoorów tego typu, Deadglyph otrzymuje polecenia z serwera kontrolowanego przez cyberprzestępcę, dostarczane w formie dodatkowych modułów. Moduły te umożliwiają backdoorowi inicjowanie nowych procesów, uzyskiwanie dostępu do plików i zbieranie danych z zaatakowanych systemów.

Poprzednia aktywność Stealth Falcon

Stealth Falcon, znany również jako FruityArmor, po raz pierwszy zwrócił na siebie uwagę opinii publicznej w 2016 r., kiedy Citizen Lab powiązał go z serią ukierunkowanych ataków z użyciem oprogramowania szpiegującego na Bliskim Wschodzie. Ataki te były wymierzone w dziennikarzy, aktywistów i dysydentów w Zjednoczonych Emiratach Arabskich, wykorzystując taktykę spear-phishingu obejmującą łącza-miny-pułapki w dokumentach zawierających makro, aby dostarczyć niestandardowy implant zdolny do wykonywania dowolnych poleceń.

Późniejsze dochodzenie przeprowadzone przez Reuters w 2019 r. ujawniło Projekt Raven, tajną operację z udziałem byłego personelu wywiadu USA, który został zwerbowany przez firmę DarkMatter zajmującą się bezpieczeństwem cybernetycznym w celu szpiegowania podmiotów krytycznych wobec monarchii arabskiej. Istnieją mocne przesłanki wskazujące, że Stealth Falcon i Project Raven to jedno i to samo, biorąc pod uwagę ich pokrywające się taktyki i cele.

Od tego czasu grupę powiązano z wykorzystywaniem luk typu zero-day w systemie Windows, takich jak CVE-2018-8611 i CVE-2019-0797. W kwietniu 2020 roku Mandiant poinformował, że ta grupa szpiegowska „wykorzystała więcej dni zerowych niż jakakolwiek inna grupa” w latach 2016–2019.

Mniej więcej w tym samym czasie badacze ujawnili, że grupa korzystała z backdoora o nazwie Win32/StealthFalcon, który wykorzystywał usługę inteligentnego transferu w tle systemu Windows (BITS) do komunikacji typu „dowodzenie i kontrola” (C2) oraz do uzyskania pełnej kontroli nad punktem końcowym.

Według słowackiej firmy zajmującej się cyberbezpieczeństwem Deadglyph to najnowszy dodatek do zestawu narzędzi Stealth Falcon, odkryty podczas śledztwa w sprawie włamania do nieujawnionej jednostki rządowej na Bliskim Wschodzie.

Konkretna metoda zastosowana do wdrożenia implantu pozostaje nieznana, ale początkowym komponentem odpowiedzialnym za aktywację jego wykonania jest moduł ładujący kod powłoki, który wyodrębnia i ładuje kod powłoki z rejestru systemu Windows. Ten moduł ładujący następnie uruchamia natywny moduł x64 Deadglypha, nazywany Executorem. Następnie Executor ładuje komponent .NET znany jako Orchestrator, który komunikuje się z serwerem dowodzenia i kontroli (C2) w oczekiwaniu na dalsze instrukcje. Szkodnik wykorzystuje również różne techniki unikania, aby pozostać niewykrytym, w tym możliwość samodzielnego odinstalowania.