Бэкдор Deadglyph, развернутый Stealth Falcon APT

Эксперты по кибербезопасности обнаружили продвинутый скрытый бэкдор под названием Deadglyph, который ранее не был обнаружен и использовался злоумышленником Stealth Falcon в рамках операции кибершпионажа.

В недавнем отчете, опубликованном на платформе кибербезопасности The Hacker News, исследователи безопасности отметили, что структура Deadglyph является нетрадиционной из-за взаимодействия двух компонентов: собственного двоичного файла x64 и сборки .NET. Это выделяется тем, что типичное вредоносное ПО использует для своих элементов один и тот же язык программирования. Это расхождение может предполагать отдельные усилия по разработке этих компонентов, а также использование уникальных аспектов языков программирования, которые они используют.

Также есть подозрение, что использование разных языков программирования служит преднамеренной тактикой, препятствующей анализу, что значительно усложняет навигацию и отладку.

В отличие от других традиционных бэкдоров такого типа, Deadglyph получает команды от сервера, контролируемого злоумышленником, которые доставляются в виде дополнительных модулей. Эти модули позволяют бэкдору инициировать новые процессы, получать доступ к файлам и собирать данные из скомпрометированных систем.

Предыдущая активность Stealth Falcon

Stealth Falcon, также известный как FruityArmor, впервые привлек внимание общественности в 2016 году, когда Citizen Lab связала его с серией целевых атак шпионских программ на Ближнем Востоке. Эти атаки были нацелены на журналистов, активистов и диссидентов в ОАЭ, используя тактику целевого фишинга, включающую заминированные ссылки в документах, нагруженных макросами, для доставки специального имплантата, способного выполнять произвольные команды.

Последующее расследование Reuters в 2019 году выявило Project Raven — тайную операцию с участием бывших сотрудников американской разведки, которые были завербованы фирмой по кибербезопасности DarkMatter для шпионажа за организациями, критикующими арабскую монархию. Есть веские основания полагать, что Stealth Falcon и Project Raven — это одно и то же, учитывая их совпадающую тактику и цели.

С тех пор группа была связана с эксплуатацией уязвимостей нулевого дня в Windows, таких как CVE-2018-8611 и CVE-2019-0797. В апреле 2020 года Mandiant сообщил, что эта шпионская группа «использовала больше нулевых дней, чем любая другая группа» с 2016 по 2019 год.

Примерно в то же время исследователи обнаружили, что группа использовала бэкдор под названием Win32/StealthFalcon, который использовал фоновую интеллектуальную службу передачи данных Windows (BITS) для управления связью и контролем (C2) и получения полного контроля над конечной точкой.

По данным словацкой фирмы по кибербезопасности, Deadglyph является последним дополнением к набору инструментов Stealth Falcon, обнаруженному в ходе расследования вторжения в нераскрытую правительственную организацию на Ближнем Востоке.

Конкретный метод, используемый для развертывания имплантата, остается неизвестным, но исходным компонентом, ответственным за активацию его выполнения, является загрузчик шеллкода, который извлекает и загружает шеллкод из реестра Windows. Этот загрузчик впоследствии запускает собственный x64-модуль Deadglyph, называемый Executor. Затем Исполнитель приступает к загрузке компонента .NET, известного как Оркестратор, который взаимодействует с сервером управления и контроля (C2) в ожидании дальнейших инструкций. Вредоносная программа также использует различные методы уклонения, чтобы оставаться незамеченной, включая возможность самоудаления.