Нова персонализирана задна вратичка, наречена Stealth Soldier, е била използвана като част от набор от високоцелеви шпионски атаки в Северна Африка.

„Зловредният софтуер Stealth Soldier е недокументирана задна вратичка, която изпълнява предимно функции за наблюдение, като ексфилтрация на файлове, запис на екрана и микрофона, регистриране на натискания на клавиши и кражба на информация от браузъра“, заяви компанията за киберсигурност Check Point в технически доклад.

Провежданата операция се характеризира с използването на сървъри за командване и управление (C&C), които имитират сайтове, принадлежащи на либийското Министерство на външните работи. Най-ранните артефакти, свързани с кампанията, датират от октомври 2022 г.

Атаките започват с изтеглянето от потенциалните цели на фалшиви двоични файлове за изтегляне, които се доставят чрез атаки на социалното инженерство и действат като канал за изтегляне на Stealth Soldier, като същевременно показват като примамка празен PDF файл.

Персонализираният модулен имплант, за който се смята, че се използва пестеливо, дава възможност за наблюдение чрез събиране на списъци с директории и идентификационни данни за браузъра, регистриране на натискания на клавиши, записване на звук от микрофон, правене на снимки на екрана, качване на файлове и изпълнение на команди PowerShell.

„Зловредният софтуер използва различни видове команди: някои са приставки, които се изтеглят от C&C, а други са модули вътре в зловредния софтуер“, казва Check Point, като добавя, че откриването на три версии на Stealth Soldier показва, че той се поддържа активно от операторите му.

Някои от компонентите вече не са достъпни за извличане, но се твърди, че плъгините за заснемане на екрана и за кражба на идентификационни данни от браузъра са били вдъхновени от проекти с отворен код, достъпни в GitHub.

Нещо повече, инфраструктурата на Stealth Soldier показва припокривания с инфраструктурата, свързана с друга фишинг кампания, наречена Eye on the Nile (Окото на Нил), която през 2019 г. беше насочена към египетски журналисти и активисти за правата на човека.

Разработката сигнализира за „първата възможна повторна поява на тази  заплаха“ оттогава насам, което предполага, че групата е насочена към наблюдение срещу египетски и либийски цели.

„Като се има предвид модулността на зловредния софтуер и използването на множество етапи на заразяване, вероятно е нападателите да продължат да развиват тактиките и техниките си и да разгърнат нови версии на този зловреден софтуер в близко бъдеще“, заявиха от Check Point.

Източник: The Hacker News

Подобни публикации

24 април 2025

Възходът на ИИ -базирания полиморфен фишинг

Екипите по анализ на заплахите наблюдават значително увеличение на ...
24 април 2025

Уязвимост в Erlang/OTP поставя под риск редица ...

Cisco разследва въздействието на наскоро разкрита критична уязвимос...
24 април 2025

Marks & Spencer засегнат от кибератака по В...

Емблематичният британски търговец Marks & Spencer (M&S) е в...
24 април 2025

Над 350 000 пациенти засегнати от пробив в Onsi...

Американският доставчик на медицински услуги Onsite Mammography, оп...
23 април 2025

Кибератака парализира системите на град Абилин,...

Градът Абилин, Тексас, стана жертва на сериозна кибератака, която д...
23 април 2025

Уязвимост доведе до издаване на фалшиви SSL сер...

Уязвимост в процеса за валидация на домейн (Domain Control Validati...
23 април 2025

Proton66 подслонява мащабни кибератаки и зловре...

Изследователи по киберсигурност предупреждават, че руският автономе...
23 април 2025

Злоупотреба с Google Sites

Киберпрестъпници използват уязвимост в Google Sites, за да разпрост...
Бъдете социални
Още по темата
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
24/04/2025

Над 350 000 пациенти засегн...

Американският доставчик на медицински услуги Onsite...
23/04/2025

Кибератака парализира систе...

Градът Абилин, Тексас, стана жертва на...
Последно добавени
24/04/2025

Възходът на ИИ -базирания п...

Екипите по анализ на заплахите наблюдават...
24/04/2025

Уязвимост в Erlang/OTP пост...

Cisco разследва въздействието на наскоро разкрита...
24/04/2025

Marks & Spencer засегна...

Емблематичният британски търговец Marks & Spencer...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!