Търсене
Close this search box.

Deadglyph: нова усъвършенствана задна врата за зловреден софтуер

Изследователи в областта на киберсигурността са открили недокументирана досега усъвършенствана задна врата, наречена Deadglyph, използвана от участник в заплаха, известен като Stealth Falcon, като част от кампания за кибершпионаж.

 

„Архитектурата на Deadglyph е необичайна, тъй като се състои от взаимодействащи си компоненти – единият е нативен x64 двоичен файл, а другият – .NET асембли“, казва ESET в нов доклад, споделен с The Hacker News.

„Тази комбинация е необичайна, тъй като зловредният софтуер обикновено използва само един език за програмиране за своите компоненти. Тази разлика може да показва отделна разработка на тези два компонента, като същевременно се възползват от уникалните характеристики на различните езици за програмиране, които използват.“

Има и подозрения, че използването на различни езици за програмиране е умишлена тактика за затрудняване на анализа, което прави много по-трудно ориентирането и отстраняването на грешки.

За разлика от други традиционни задни врати от този вид, командите се получават от сървър, контролиран от извършителя, под формата на допълнителни модули, които му позволяват да създава нови процеси, да чете файлове и да събира информация от компрометираните системи.

Stealth Falcon (известен още като FruityArmor) беше разкрит за първи път от Гражданската лаборатория през 2016 г., свързвайки го с набор от целенасочени шпионски атаки в Близкия изток, насочени към журналисти, активисти и дисиденти в ОАЕ, използващи spear-phishing примамки, вграждащи заложени в капани връзки, сочещи към документи с макроси, за да доставят персонализиран имплант, способен да изпълнява произволни команди.

Последващо разследване, предприето от Ройтерс през 2019 г., разкри тайна операция, наречена „Project Raven“, в която участваха група бивши агенти на американското разузнаване, които бяха наети от фирма за киберсигурност на име DarkMatter, за да шпионират цели, критични към арабската монархия.

Смята се, че Stealth Falcon и Project Raven са една и съща група въз основа на припокриването на тактиките и целите.

Оттогава групата е свързана с използването на нулеви дни на недостатъци в Windows като CVE-2018-8611 и CVE-2019-0797, като през април 2020 г. Mandiant отбелязва, че шпионинът „е използвал повече нулеви дни от всяка друга група“ от 2016 г. до 2019 г.

Приблизително по същото време ESET подробно описа използването от противника на задна врата, наречена Win32/StealthFalcon, за която беше установено, че използва услугата Windows Background Intelligent Transfer Service (BITS) за комуникация за командване и контрол (C2) и за придобиване на пълен контрол над крайната точка.

Според словашката фирма за киберсигурност, която анализирала проникване в неназована правителствена структура в Близкия изток, Deadglyph е най-новото допълнение към арсенала на Stealth Falcon.

Точният метод, използван за доставяне на имплантанта, засега не е известен, но първоначалният компонент, който активира изпълнението му, е зареждащ модул за шелкод, който извлича и зарежда шелкод от регистъра на Windows, който впоследствие стартира собствения x64 модул на Deadglyph, наречен Executor.

След това Executor продължава със зареждането на .NET компонент, известен като Orchestrator, който на свой ред се свързва със сървъра за командване и управление (C2), за да очаква по-нататъшни инструкции. Зловредният софтуер също така предприема редица уклончиви маневри, за да се скрие от радарите, като отчита способността да се деинсталира.

Командите, получени от сървъра, се нареждат на опашка за изпълнение и могат да попаднат в една от три категории: Задачи на оркестратора, задачи на изпълнителя и задачи за качване.

„Задачите на Executor предлагат възможност за управление на задната врата и изпълнение на допълнителни модули“, казват от ESET. „Задачите на Orchestrator предлагат възможност за управление на конфигурацията на модулите Network и Timer, а също и за отмяна на чакащи задачи.“

Някои от идентифицираните Executor задачи включват създаване на процеси, достъп до файлове и събиране на системни метаданни. Модулът Timer се използва за периодично анкетиране на сървъра C2 в комбинация с модула Network, който реализира комуникациите на C2, използвайки HTTPS POST заявки.

Задачите за качване, както подсказва името, позволяват на задната врата да качва изхода на командите и грешките.

ESET съобщи, че е идентифицирала и файл на контролен панел (CPL), който е бил качен във VirusTotal от Катар и за който се твърди, че е функционирал като отправна точка за многоетапна верига, която проправя пътя за изтегляне на шелкод, който споделя някои прилики в кода с Deadglyph.

Въпреки че естеството на шелкода, изтеглен от сървъра C2, остава неясно, съществува теория, че съдържанието може потенциално да служи като инсталатор за зловредния софтуер Deadglyph.

Deadglyph получава името си от артефактите, открити в задната врата (шестнадесетични идентификатори 0xDEADB001 и 0xDEADB101 за модула Timer и неговата конфигурация), в съчетание с наличието на хомоглифна атака, представяща се за Microsoft („Ϻicrоsоft Corpоratiоn“) в ресурса VERSIONINFO на зареждащия шелкод регистър.

„Deadglyph може да се похвали с редица механизми за противодействие, включително непрекъснато наблюдение на системните процеси и прилагане на произволни мрежови модели“, заявиха от компанията. „Освен това задната врата е способна да се деинсталира, за да сведе до минимум вероятността за откриването ѝ в определени случаи.“

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
16/03/2024

Зловредният софтуер Ande Lo...

Заплахата, известна като Blind Eagle, е...
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!