Търсене
Close this search box.

Изследователи в областта на киберсигурността са открили недокументирана досега усъвършенствана задна врата, наречена Deadglyph, използвана от участник в заплаха, известен като Stealth Falcon, като част от кампания за кибершпионаж.

 

„Архитектурата на Deadglyph е необичайна, тъй като се състои от взаимодействащи си компоненти – единият е нативен x64 двоичен файл, а другият – .NET асембли“, казва ESET в нов доклад, споделен с The Hacker News.

„Тази комбинация е необичайна, тъй като зловредният софтуер обикновено използва само един език за програмиране за своите компоненти. Тази разлика може да показва отделна разработка на тези два компонента, като същевременно се възползват от уникалните характеристики на различните езици за програмиране, които използват.“

Има и подозрения, че използването на различни езици за програмиране е умишлена тактика за затрудняване на анализа, което прави много по-трудно ориентирането и отстраняването на грешки.

За разлика от други традиционни задни врати от този вид, командите се получават от сървър, контролиран от извършителя, под формата на допълнителни модули, които му позволяват да създава нови процеси, да чете файлове и да събира информация от компрометираните системи.

Stealth Falcon (известен още като FruityArmor) беше разкрит за първи път от Гражданската лаборатория през 2016 г., свързвайки го с набор от целенасочени шпионски атаки в Близкия изток, насочени към журналисти, активисти и дисиденти в ОАЕ, използващи spear-phishing примамки, вграждащи заложени в капани връзки, сочещи към документи с макроси, за да доставят персонализиран имплант, способен да изпълнява произволни команди.

Последващо разследване, предприето от Ройтерс през 2019 г., разкри тайна операция, наречена „Project Raven“, в която участваха група бивши агенти на американското разузнаване, които бяха наети от фирма за киберсигурност на име DarkMatter, за да шпионират цели, критични към арабската монархия.

Смята се, че Stealth Falcon и Project Raven са една и съща група въз основа на припокриването на тактиките и целите.

Оттогава групата е свързана с използването на нулеви дни на недостатъци в Windows като CVE-2018-8611 и CVE-2019-0797, като през април 2020 г. Mandiant отбелязва, че шпионинът „е използвал повече нулеви дни от всяка друга група“ от 2016 г. до 2019 г.

Приблизително по същото време ESET подробно описа използването от противника на задна врата, наречена Win32/StealthFalcon, за която беше установено, че използва услугата Windows Background Intelligent Transfer Service (BITS) за комуникация за командване и контрол (C2) и за придобиване на пълен контрол над крайната точка.

Според словашката фирма за киберсигурност, която анализирала проникване в неназована правителствена структура в Близкия изток, Deadglyph е най-новото допълнение към арсенала на Stealth Falcon.

Точният метод, използван за доставяне на имплантанта, засега не е известен, но първоначалният компонент, който активира изпълнението му, е зареждащ модул за шелкод, който извлича и зарежда шелкод от регистъра на Windows, който впоследствие стартира собствения x64 модул на Deadglyph, наречен Executor.

След това Executor продължава със зареждането на .NET компонент, известен като Orchestrator, който на свой ред се свързва със сървъра за командване и управление (C2), за да очаква по-нататъшни инструкции. Зловредният софтуер също така предприема редица уклончиви маневри, за да се скрие от радарите, като отчита способността да се деинсталира.

Командите, получени от сървъра, се нареждат на опашка за изпълнение и могат да попаднат в една от три категории: Задачи на оркестратора, задачи на изпълнителя и задачи за качване.

„Задачите на Executor предлагат възможност за управление на задната врата и изпълнение на допълнителни модули“, казват от ESET. „Задачите на Orchestrator предлагат възможност за управление на конфигурацията на модулите Network и Timer, а също и за отмяна на чакащи задачи.“

Някои от идентифицираните Executor задачи включват създаване на процеси, достъп до файлове и събиране на системни метаданни. Модулът Timer се използва за периодично анкетиране на сървъра C2 в комбинация с модула Network, който реализира комуникациите на C2, използвайки HTTPS POST заявки.

Задачите за качване, както подсказва името, позволяват на задната врата да качва изхода на командите и грешките.

ESET съобщи, че е идентифицирала и файл на контролен панел (CPL), който е бил качен във VirusTotal от Катар и за който се твърди, че е функционирал като отправна точка за многоетапна верига, която проправя пътя за изтегляне на шелкод, който споделя някои прилики в кода с Deadglyph.

Въпреки че естеството на шелкода, изтеглен от сървъра C2, остава неясно, съществува теория, че съдържанието може потенциално да служи като инсталатор за зловредния софтуер Deadglyph.

Deadglyph получава името си от артефактите, открити в задната врата (шестнадесетични идентификатори 0xDEADB001 и 0xDEADB101 за модула Timer и неговата конфигурация), в съчетание с наличието на хомоглифна атака, представяща се за Microsoft („Ϻicrоsоft Corpоratiоn“) в ресурса VERSIONINFO на зареждащия шелкод регистър.

„Deadglyph може да се похвали с редица механизми за противодействие, включително непрекъснато наблюдение на системните процеси и прилагане на произволни мрежови модели“, заявиха от компанията. „Освен това задната врата е способна да се деинсталира, за да сведе до минимум вероятността за откриването ѝ в определени случаи.“

Източник: The Hacker News

Подобни публикации

10 декември 2024

Ubisoft отстрани конфликти с Windows 11 24H2

Microsoft вече частично отмени блокирането на съвместимостта на акт...
10 декември 2024

Deloitte опроверга рансъмуер банда

Deloitte направи изявление в отговор на твърденията на група за ран...
9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
17/11/2024

10- те най- големи киберата...

Най-големите кибератаки и нарушения на сигурността...
Последно добавени
10/12/2024

Ubisoft отстрани конфликти ...

Microsoft вече частично отмени блокирането на...
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!