Szkodliwe oprogramowanie Stealth Soldier wykorzystywane w cyberszpiegostwie

W Afryce Północnej przeprowadzono serię wysoce ukierunkowanych ataków szpiegowskich przy użyciu nowo opracowanego backdoora o nazwie Stealth Soldier.

Firma Check Point zajmująca się cyberbezpieczeństwem w raporcie technicznym opisała Stealth Soldier jako niestandardowy backdoor, który działa głównie w celach inwigilacyjnych. Jego funkcje obejmują wyodrębnianie plików, nagrywanie działań na ekranie i mikrofonie, rejestrowanie naciśnięć klawiszy i kradzież informacji o przeglądarce.

Prowadzona operacja polega na wykorzystaniu serwerów dowodzenia i kontroli, które imitują strony internetowe należące do libijskiego Ministerstwa Spraw Zagranicznych. Najwcześniejsze oznaki tej kampanii sięgają października 2022 r.

Ataki rozpoczynają się od tego, że potencjalne cele pobierają fałszywe pliki binarne programu do pobierania za pomocą taktyk socjotechnicznych. Te pośrednie ładunki służą jako kanał do zdobycia Stealth Soldier, jednocześnie wyświetlając plik PDF wabika.

Uważa się, że Stealth Soldier, niestandardowy implant modułowy, jest używany oszczędnie. Zwiększa możliwości nadzoru, zbierając listy katalogów i poświadczenia przeglądarki, przechwytując naciśnięcia klawiszy, nagrywając dźwięk z mikrofonu, robiąc zrzuty ekranu, przesyłając pliki i wykonując polecenia PowerShell. Check Point ujawnił, że złośliwe oprogramowanie wykorzystuje różne typy poleceń, w tym wtyczki pobierane z serwera dowodzenia i kontroli oraz moduły wewnętrzne.

Stealth Soldier wciąż aktywnie aktualizowany

Odkrycie trzech wersji Stealth Soldier sugeruje, że operatorzy aktywnie ją utrzymują i aktualizują.

Chociaż niektóre komponenty złośliwego oprogramowania nie są już dostępne, mówi się, że wtyczki do przechwytywania ekranu i kradzieży danych uwierzytelniających przeglądarki zostały zainspirowane projektami open source znalezionymi w GitHub.

Ponadto infrastruktura wspierająca Stealth Soldier wykazuje podobieństwa do infrastruktury wykorzystywanej w poprzedniej kampanii phishingowej Eye on the Nile, której celem byli egipscy dziennikarze i obrońcy praw człowieka w 2019 roku.

Ten niedawny rozwój wskazuje na potencjalne ponowne pojawienie się ugrupowania cyberprzestępczego zaangażowanego w Eye on the Nile. Wskazuje to, że grupa koncentruje się na działaniach inwigilacyjnych wymierzonych w podmioty egipskie i libijskie.