Deadglyph Backdoor Utplacerad av Stealth Falcon APT

Cybersäkerhetsexperter har grävt fram en avancerad hemlig bakdörr som heter Deadglyph, som tidigare var oupptäckt och användes av hotaktören Stealth Falcon som en del av en cyberspionageoperation.

I en färsk rapport som delas med cybersäkerhetsplattformen The Hacker News, noterade säkerhetsforskare att Deadglyphs struktur är okonventionell på grund av dess samarbete mellan två komponenter: en inbyggd x64-binär och en .NET-sammansättning. Detta sticker ut eftersom typisk skadlig programvara förlitar sig på ett enda programmeringsspråk för dess element. Denna skillnad kan antyda separata utvecklingsinsatser för dessa komponenter samtidigt som de utnyttjar unika aspekter av de programmeringsspråk de använder.

Det finns också misstankar om att användningen av distinkta programmeringsspråk fungerar som en medveten taktik för att hindra analys, vilket gör det betydligt mer utmanande att navigera och felsöka.

I motsats till andra konventionella bakdörrar av sitt slag tar Deadglyph emot kommandon från en server som kontrolleras av hotaktören, levererade i form av ytterligare moduler. Dessa moduler gör det möjligt för bakdörren att initiera nya processer, komma åt filer och samla in data från komprometterade system.

Stealth Falcons tidigare aktivitet

Stealth Falcon, även känd som FruityArmor, kom först till allmän uppmärksamhet 2016 när Citizen Lab kopplade den till en serie riktade spionprogramattacker i Mellanöstern. Dessa attacker riktade sig mot journalister, aktivister och dissidenter i Förenade Arabemiraten, och använde sig av spjutfisketaktik som involverade länkar i makroladdade dokument för att leverera ett anpassat implantat som kan utföra godtyckliga kommandon.

En efterföljande undersökning av Reuters 2019 avslöjade Project Raven, en hemlig operation som involverade tidigare amerikansk underrättelsepersonal som rekryterades av cybersäkerhetsföretaget DarkMatter för att spionera på enheter som är kritiska till den arabiska monarkin. Det finns starka indikationer på att Stealth Falcon och Project Raven är en och samma, med tanke på deras överlappande taktik och mål.

Sedan dess har gruppen kopplats till utnyttjandet av nolldagssårbarheter i Windows, såsom CVE-2018-8611 och CVE-2019-0797. I april 2020 rapporterade Mandiant att denna spionagegrupp hade "använt fler nolldagar än någon annan grupp" från 2016 till 2019.

Ungefär samma tidsram avslöjade forskare gruppens användning av en bakdörr som heter Win32/StealthFalcon, som använde Windows Background Intelligent Transfer Service (BITS) för kommando-och-kontroll (C2) kommunikation och för att få full kontroll över en slutpunkt.

Enligt en slovakisk cybersäkerhetsfirma är Deadglyph det senaste tillskottet till Stealth Falcons verktygslåda, upptäckt under en utredning av ett intrång i en okänd statlig enhet i Mellanöstern.

Den specifika metoden som används för att distribuera implantatet är fortfarande okänd, men den initiala komponenten som är ansvarig för att aktivera dess exekvering är en shellcode-laddare som extraherar och laddar skalkod från Windows-registret. Den här laddaren startar därefter Deadglyphs inbyggda x64-modul, kallad Executor. Executor fortsätter sedan med att ladda en .NET-komponent som kallas Orchestrator, som kommunicerar med kommando-och-kontroll-servern (C2) för att invänta ytterligare instruktioner. Skadlig programvara använder också olika undvikande tekniker för att förbli oupptäckt, inklusive möjligheten att avinstallera sig själv.