Stealth Falcon APT 部署的 Deadglyph 後門

網路安全專家發現了一個名為 Deadglyph 的高級隱藏後門，該後門此前未被威脅行為者 Stealth Falcon 發現並用作網路間諜活動的一部分。

在最近與網路安全平台 The Hacker News 分享的一份報告中，安全研究人員指出，Deadglyph 的結構非常規，因為它在兩個元件之間進行協作：本機 x64 二進位和 .NET 程式集。這很突出，因為典型的惡意軟體其元素依賴單一程式語言。這種差異可能表明這些組件的單獨開發工作，同時也利用了它們所使用的程式語言的獨特方面。

還有人懷疑，使用不同的程式語言是一種故意阻礙分析的策略，使導航和調試變得更加困難。

與其他同類傳統後門相比，Deadglyph 從威脅行為者控制的伺服器接收命令，以附加模組的形式傳遞。這些模組使後門能夠啟動新進程、存取檔案並從受感染的系統收集資料。

Stealth Falcon 之前的活動

Stealth Falcon，也稱為 FruityArmor，於 2016 年首次引起公眾關注，當時 Citizen Lab 將其與中東的一系列有針對性的間諜軟體攻擊聯繫起來。這些攻擊針對阿聯酋的記者、活動人士和持不同政見者，利用魚叉式網絡釣魚策略，涉及包含宏的文檔中的誘殺鏈接，以提供能夠執行任意命令的自定義植入程序。

路透社在 2019 年進行的一項後續調查揭露了“烏鴉計劃”，這是一項涉及前美國情報人員的秘密行動，這些人員被網路安全公司 DarkMatter 招募來監視批評阿拉伯君主制的實體。有明顯跡象表明，「隱形獵鷹」和「烏鴉計畫」是一回事，因為它們的戰術和目標有重疊。

從那時起，該組織就與利用 Windows 中的零日漏洞有關，例如 CVE-2018-8611 和 CVE-2019-0797。 2020 年 4 月，Mandiant 報告稱，該間諜組織在 2016 年至 2019 年期間「使用的零日漏洞比任何其他組織都多」。

大約在同一時間，研究人員透露該組織使用了一個名為 Win32/StealthFalcon 的後門，該後門利用 Windows 後台智慧傳輸服務 (BITS) 進行命令和控制 (C2) 通訊並獲得對端點的完全控制。

據斯洛伐克一家網路安全公司稱，Deadglyph 是 Stealth Falcon 工具包的最新成員，是在對中東一家未公開政府實體的入侵事件進行調查時發現的。

用於部署植入程式的具體方法仍然未知，但負責啟動其執行的初始元件是一個 shellcode 載入器，它從 Windows 註冊表中提取並載入 shellcode。這個載入程式隨後啟動 Deadglyph 的本機 x64 模組，稱為執行器。然後，執行器繼續載入稱為 Orchestrator 的 .NET 元件，該元件與命令和控制 (C2) 伺服器通訊以等待進一步的指令。該惡意軟體還採用各種規避技術來維持不被發現，包括自行卸載的能力。