Изследователи в областта на киберсигурността са открили недокументирана досега усъвършенствана задна врата, наречена Deadglyph, използвана от участник в заплаха, известен като Stealth Falcon, като част от кампания за кибершпионаж.
„Архитектурата на Deadglyph е необичайна, тъй като се състои от взаимодействащи си компоненти – единият е нативен x64 двоичен файл, а другият – .NET асембли“, казва ESET в нов доклад, споделен с The Hacker News.
„Тази комбинация е необичайна, тъй като зловредният софтуер обикновено използва само един език за програмиране за своите компоненти. Тази разлика може да показва отделна разработка на тези два компонента, като същевременно се възползват от уникалните характеристики на различните езици за програмиране, които използват.“
Има и подозрения, че използването на различни езици за програмиране е умишлена тактика за затрудняване на анализа, което прави много по-трудно ориентирането и отстраняването на грешки.
За разлика от други традиционни задни врати от този вид, командите се получават от сървър, контролиран от извършителя, под формата на допълнителни модули, които му позволяват да създава нови процеси, да чете файлове и да събира информация от компрометираните системи.
Stealth Falcon (известен още като FruityArmor) беше разкрит за първи път от Гражданската лаборатория през 2016 г., свързвайки го с набор от целенасочени шпионски атаки в Близкия изток, насочени към журналисти, активисти и дисиденти в ОАЕ, използващи spear-phishing примамки, вграждащи заложени в капани връзки, сочещи към документи с макроси, за да доставят персонализиран имплант, способен да изпълнява произволни команди.
Последващо разследване, предприето от Ройтерс през 2019 г., разкри тайна операция, наречена „Project Raven“, в която участваха група бивши агенти на американското разузнаване, които бяха наети от фирма за киберсигурност на име DarkMatter, за да шпионират цели, критични към арабската монархия.
Смята се, че Stealth Falcon и Project Raven са една и съща група въз основа на припокриването на тактиките и целите.
Оттогава групата е свързана с използването на нулеви дни на недостатъци в Windows като CVE-2018-8611 и CVE-2019-0797, като през април 2020 г. Mandiant отбелязва, че шпионинът „е използвал повече нулеви дни от всяка друга група“ от 2016 г. до 2019 г.
Приблизително по същото време ESET подробно описа използването от противника на задна врата, наречена Win32/StealthFalcon, за която беше установено, че използва услугата Windows Background Intelligent Transfer Service (BITS) за комуникация за командване и контрол (C2) и за придобиване на пълен контрол над крайната точка.
Според словашката фирма за киберсигурност, която анализирала проникване в неназована правителствена структура в Близкия изток, Deadglyph е най-новото допълнение към арсенала на Stealth Falcon.
Точният метод, използван за доставяне на имплантанта, засега не е известен, но първоначалният компонент, който активира изпълнението му, е зареждащ модул за шелкод, който извлича и зарежда шелкод от регистъра на Windows, който впоследствие стартира собствения x64 модул на Deadglyph, наречен Executor.
След това Executor продължава със зареждането на .NET компонент, известен като Orchestrator, който на свой ред се свързва със сървъра за командване и управление (C2), за да очаква по-нататъшни инструкции. Зловредният софтуер също така предприема редица уклончиви маневри, за да се скрие от радарите, като отчита способността да се деинсталира.
Командите, получени от сървъра, се нареждат на опашка за изпълнение и могат да попаднат в една от три категории: Задачи на оркестратора, задачи на изпълнителя и задачи за качване.
„Задачите на Executor предлагат възможност за управление на задната врата и изпълнение на допълнителни модули“, казват от ESET. „Задачите на Orchestrator предлагат възможност за управление на конфигурацията на модулите Network и Timer, а също и за отмяна на чакащи задачи.“
Някои от идентифицираните Executor задачи включват създаване на процеси, достъп до файлове и събиране на системни метаданни. Модулът Timer се използва за периодично анкетиране на сървъра C2 в комбинация с модула Network, който реализира комуникациите на C2, използвайки HTTPS POST заявки.
Задачите за качване, както подсказва името, позволяват на задната врата да качва изхода на командите и грешките.
ESET съобщи, че е идентифицирала и файл на контролен панел (CPL), който е бил качен във VirusTotal от Катар и за който се твърди, че е функционирал като отправна точка за многоетапна верига, която проправя пътя за изтегляне на шелкод, който споделя някои прилики в кода с Deadglyph.
Въпреки че естеството на шелкода, изтеглен от сървъра C2, остава неясно, съществува теория, че съдържанието може потенциално да служи като инсталатор за зловредния софтуер Deadglyph.
Deadglyph получава името си от артефактите, открити в задната врата (шестнадесетични идентификатори 0xDEADB001 и 0xDEADB101 за модула Timer и неговата конфигурация), в съчетание с наличието на хомоглифна атака, представяща се за Microsoft („Ϻicrоsоft Corpоratiоn“) в ресурса VERSIONINFO на зареждащия шелкод регистър.
„Deadglyph може да се похвали с редица механизми за противодействие, включително непрекъснато наблюдение на системните процеси и прилагане на произволни мрежови модели“, заявиха от компанията. „Освен това задната врата е способна да се деинсталира, за да сведе до минимум вероятността за откриването ѝ в определени случаи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.