Вредоносное ПО Stealth Soldier, используемое в кибершпионаже

В Северной Африке была проведена серия точечных шпионских атак с использованием недавно разработанного бэкдора под названием Stealth Soldier.

Фирма по кибербезопасности Check Point в техническом отчете описала Stealth Soldier как специальный бэкдор, который работает в основном для целей наблюдения. Его функции включают в себя извлечение файлов, запись активности экрана и микрофона, регистрацию нажатий клавиш и кражу информации браузера.

Текущая операция включает использование серверов управления и контроля, которые имитируют веб-сайты, принадлежащие Министерству иностранных дел Ливии. Самые ранние признаки этой кампании можно проследить до октября 2022 года.

Атаки начинаются с того, что потенциальные цели загружают поддельные двоичные файлы загрузчика с помощью тактики социальной инженерии. Эти промежуточные полезные нагрузки служат каналом для получения Stealth Soldier при одновременном отображении PDF-файла-приманки.

Считается, что Stealth Soldier, изготовленный на заказ модульный имплантат, используется экономно. Он расширяет возможности наблюдения, собирая списки каталогов и учетные данные браузера, перехватывая нажатия клавиш, записывая звук с микрофона, делая снимки экрана, загружая файлы и выполняя команды PowerShell. Check Point обнаружил, что вредоносное ПО использует различные типы команд, в том числе подключаемые модули, загруженные с командно-контрольного сервера, и внутренние модули.

Stealth Soldier все еще активно обновляется

Обнаружение трех версий Stealth Soldier свидетельствует о том, что операторы активно поддерживают и обновляют его.

Хотя некоторые компоненты вредоносного ПО больше недоступны, говорят, что плагины для захвата экрана и кражи учетных данных браузера были вдохновлены проектами с открытым исходным кодом, найденными на GitHub.

Кроме того, инфраструктура, поддерживающая Stealth Soldier, имеет сходство с инфраструктурой, использовавшейся в предыдущей фишинговой кампании Eye on the Nile, нацеленной на египетских журналистов и правозащитников в 2019 году.

Это недавнее событие предполагает потенциальное повторное появление злоумышленника, причастного к «Око на Ниле». Это указывает на то, что группа занимается слежкой за египетскими и ливийскими организациями.