Stealth Falcon APT 部署的 Deadglyph 后门

网络安全专家发现了一个名为 Deadglyph 的高级隐蔽后门，该后门此前未被威胁行为者 Stealth Falcon 发现并用作网络间谍活动的一部分。

在最近与网络安全平台 The Hacker News 分享的一份报告中，安全研究人员指出，Deadglyph 的结构非常规，因为它在两个组件之间进行协作：本机 x64 二进制文件和 .NET 程序集。这很突出，因为典型的恶意软件其元素依赖于单一编程语言。这种差异可能表明这些组件的单独开发工作，同时也利用了它们所使用的编程语言的独特方面。

还有人怀疑，使用不同的编程语言是一种故意阻碍分析的策略，使导航和调试变得更加困难。

与其他同类传统后门相比，Deadglyph 从威胁行为者控制的服务器接收命令，以附加模块的形式传递。这些模块使后门能够启动新进程、访问文件并从受感染的系统收集数据。

Stealth Falcon 之前的活动

Stealth Falcon，也称为 FruityArmor，于 2016 年首次引起公众关注，当时 Citizen Lab 将其与中东的一系列有针对性的间谍软件攻击联系起来。这些攻击针对阿联酋的记者、活动人士和持不同政见者，利用鱼叉式网络钓鱼策略，涉及包含宏的文档中的诱杀链接，以提供能够执行任意命令的自定义植入程序。

路透社在 2019 年进行的一项后续调查揭露了“乌鸦计划”，这是一项涉及前美国情报人员的秘密行动，这些人员被网络安全公司 DarkMatter 招募来监视批评阿拉伯君主制的实体。有明显迹象表明，“隐形猎鹰”和“乌鸦计划”是一回事，因为它们的战术和目标有重叠。

从那时起，该组织就与利用 Windows 中的零日漏洞有关，例如 CVE-2018-8611 和 CVE-2019-0797。 2020 年 4 月，Mandiant 报告称，该间谍组织在 2016 年至 2019 年期间“使用的零日漏洞比任何其他组织都多”。

大约在同一时间，研究人员透露该组织使用了一个名为 Win32/StealthFalcon 的后门，该后门利用 Windows 后台智能传输服务 (BITS) 进行命令和控制 (C2) 通信并获得对端点的完全控制。

据斯洛伐克一家网络安全公司称，Deadglyph 是 Stealth Falcon 工具包的最新成员，是在对中东一家未公开政府实体的入侵事件进行调查时发现的。

用于部署植入程序的具体方法仍然未知，但负责激活其执行的初始组件是一个 shellcode 加载器，它从 Windows 注册表中提取并加载 shellcode。该加载程序随后启动 Deadglyph 的本机 x64 模块，称为执行器。然后，执行器继续加载称为 Orchestrator 的 .NET 组件，该组件与命令和控制 (C2) 服务器通信以等待进一步的指令。该恶意软件还采用各种规避技术来保持不被发现，包括自行卸载的能力。