Backdoor Deadglyph implantado por Stealth Falcon APT

Especialistas em segurança cibernética descobriram um backdoor secreto avançado chamado Deadglyph, que não havia sido descoberto anteriormente e utilizado pelo agente de ameaças Stealth Falcon como parte de uma operação de espionagem cibernética.

Em um relatório recente compartilhado com a plataforma de segurança cibernética The Hacker News, pesquisadores de segurança observaram que a estrutura do Deadglyph não é convencional devido à sua colaboração entre dois componentes: um binário x64 nativo e um assembly .NET. Isso se destaca porque o malware típico depende de uma única linguagem de programação para seus elementos. Esta divergência pode sugerir esforços de desenvolvimento separados para estes componentes, ao mesmo tempo que explora aspectos únicos das linguagens de programação que empregam.

Também há suspeita de que o uso de linguagens de programação distintas sirva como uma tática deliberada para impedir a análise, tornando consideravelmente mais desafiador navegar e depurar.

Em contraste com outros backdoors convencionais desse tipo, o Deadglyph recebe comandos de um servidor controlado pelo autor da ameaça, entregues na forma de módulos adicionais. Esses módulos permitem que o backdoor inicie novos processos, acesse arquivos e colete dados de sistemas comprometidos.

Atividade anterior do Stealth Falcon

O Stealth Falcon, também conhecido como FruityArmor, chamou a atenção do público pela primeira vez em 2016, quando o Citizen Lab o conectou a uma série de ataques de spyware direcionados no Oriente Médio. Estes ataques tiveram como alvo jornalistas, ativistas e dissidentes nos Emirados Árabes Unidos, utilizando táticas de spear-phishing envolvendo links armadilhados em documentos carregados de macros para fornecer um implante personalizado capaz de executar comandos arbitrários.

Uma investigação subsequente da Reuters em 2019 descobriu o Projeto Raven, uma operação secreta envolvendo ex-funcionários da inteligência dos EUA que foram recrutados pela empresa de segurança cibernética DarkMatter para espionar entidades críticas à monarquia árabe. Há fortes indícios de que Stealth Falcon e Project Raven são a mesma coisa, dadas as suas táticas e alvos sobrepostos.

Desde então, o grupo está ligado à exploração de vulnerabilidades de dia zero no Windows, como CVE-2018-8611 e CVE-2019-0797. Em abril de 2020, a Mandiant relatou que este grupo de espionagem "usou mais dias zero do que qualquer outro grupo" de 2016 a 2019.

Mais ou menos no mesmo período, os pesquisadores revelaram o uso pelo grupo de um backdoor chamado Win32/StealthFalcon, que utilizava o Windows Background Intelligent Transfer Service (BITS) para comunicação de comando e controle (C2) e para obter controle total sobre um endpoint.

De acordo com uma empresa eslovaca de segurança cibernética, Deadglyph é a mais recente adição ao kit de ferramentas do Stealth Falcon, descoberto durante uma investigação sobre uma intrusão em uma entidade governamental não revelada no Oriente Médio.

O método específico usado para implantar o implante permanece desconhecido, mas o componente inicial responsável por ativar sua execução é um carregador de shellcode que extrai e carrega o shellcode do Registro do Windows. Este carregador posteriormente inicia o módulo x64 nativo do Deadglyph, conhecido como Executor. O Executor então carrega um componente .NET conhecido como Orchestrator, que se comunica com o servidor de comando e controle (C2) para aguardar mais instruções. O malware também emprega várias técnicas evasivas para permanecer indetectado, incluindo a capacidade de se desinstalar.