用于网络间谍活动的隐形士兵恶意软件

在北非，使用一种名为 Stealth Soldier 的新开发后门进行了一系列高度针对性的间谍攻击。

网络安全公司 Check Point 在一份技术报告中将 Stealth Soldier 描述为主要用于监视目的的自定义后门。它的功能包括提取文件、记录屏幕和麦克风活动、记录击键和窃取浏览器信息。

正在进行的行动涉及使用模仿属于利比亚外交部的网站的命令和控制服务器。这场运动的最早迹象可以追溯到 2022 年 10 月。

攻击始于潜在目标通过社会工程策略下载伪造的下载器二进制文件。这些中间有效载荷充当获取 Stealth Soldier 的渠道，同时显示诱饵 PDF 文件。

Stealth Soldier 是一种定制的模块化植入物，据信很少使用。它通过收集目录列表和浏览器凭据、捕获击键、从麦克风录制音频、截取屏幕截图、上传文件和执行 PowerShell 命令来增强监视功能。 Check Point 透露，该恶意软件使用不同类型的命令，包括从命令和控制服务器和内部模块下载的插件。

隐形士兵仍在积极更新

Stealth Soldier 三个版本的发现表明运营商积极维护和更新它。

虽然恶意软件的某些组件不再可访问，但据说屏幕捕获和浏览器凭据窃取插件的灵感来自 GitHub 上的开源项目。

此外，支持 Stealth Soldier 的基础设施与之前名为“尼罗河之眼”的网络钓鱼活动中使用的基础设施有相似之处，该活动在 2019 年针对埃及记者和人权活动家。

最近的发展表明参与“尼罗河之眼”的威胁行为者可能会重新出现。这表明该组织专注于针对埃及和利比亚实体的监视活动。