Нова персонализирана задна вратичка, наречена Stealth Soldier, е била използвана като част от набор от високоцелеви шпионски атаки в Северна Африка.
„Зловредният софтуер Stealth Soldier е недокументирана задна вратичка, която изпълнява предимно функции за наблюдение, като ексфилтрация на файлове, запис на екрана и микрофона, регистриране на натискания на клавиши и кражба на информация от браузъра“, заяви компанията за киберсигурност Check Point в технически доклад.
Провежданата операция се характеризира с използването на сървъри за командване и управление (C&C), които имитират сайтове, принадлежащи на либийското Министерство на външните работи. Най-ранните артефакти, свързани с кампанията, датират от октомври 2022 г.
Атаките започват с изтеглянето от потенциалните цели на фалшиви двоични файлове за изтегляне, които се доставят чрез атаки на социалното инженерство и действат като канал за изтегляне на Stealth Soldier, като същевременно показват като примамка празен PDF файл.
Персонализираният модулен имплант, за който се смята, че се използва пестеливо, дава възможност за наблюдение чрез събиране на списъци с директории и идентификационни данни за браузъра, регистриране на натискания на клавиши, записване на звук от микрофон, правене на снимки на екрана, качване на файлове и изпълнение на команди PowerShell.
„Зловредният софтуер използва различни видове команди: някои са приставки, които се изтеглят от C&C, а други са модули вътре в зловредния софтуер“, казва Check Point, като добавя, че откриването на три версии на Stealth Soldier показва, че той се поддържа активно от операторите му.
Някои от компонентите вече не са достъпни за извличане, но се твърди, че плъгините за заснемане на екрана и за кражба на идентификационни данни от браузъра са били вдъхновени от проекти с отворен код, достъпни в GitHub.
Нещо повече, инфраструктурата на Stealth Soldier показва припокривания с инфраструктурата, свързана с друга фишинг кампания, наречена Eye on the Nile (Окото на Нил), която през 2019 г. беше насочена към египетски журналисти и активисти за правата на човека.
Разработката сигнализира за „първата възможна повторна поява на тази заплаха“ оттогава насам, което предполага, че групата е насочена към наблюдение срещу египетски и либийски цели.
„Като се има предвид модулността на зловредния софтуер и използването на множество етапи на заразяване, вероятно е нападателите да продължат да развиват тактиките и техниките си и да разгърнат нови версии на този зловреден софтуер в близко бъдеще“, заявиха от Check Point.
