I en nylig afsløring har cybersikkerhedseksperter fundet en hidtil uset avanceret bagdør kendt som Deadglyph.
Denne sofistikerede malware tilskrives den berygtede trusselsaktør, Stealth Falcon, som en del af et omfattende cyberspionageinitiativ.
Stealth Falcon's ny malware: Deadglyph
ESET, et førende cybersikkerhedsfirma, har kastet lys over Deadglyphs karakteristiske arkitektur, der består af to samarbejdskomponenter: en native x64 binær og en .NET assembly. Denne afvigelse fra normen inden for malware-design, som typisk anvender et enkelt programmeringssprog, indikerer separat udvikling af disse komponenter. Det menes, at denne tilgang udnytter de unikke egenskaber ved de forskellige programmeringssprog, der anvendes, muligvis for at hindre analyse, hvilket skaber en formidabel udfordring for cybersikkerhedseksperter.
Hvordan fungerer Deadglyph
I modsætning til konventionelle bagdøre modtager Deadglyph kommandoer gennem yderligere moduler fra en server under skuespillerens kontrol. Dette giver den mulighed for at starte nye processer, få adgang til filer og indsamle intelligens fra kompromitterede systemer.
Stealth Falcon, også kendt som FruityArmor, kom oprindeligt frem gennem indsatsen fra Citizen Lab i 2016. Gruppen var impliceret i en række målrettede spyware-angreb i Mellemøsten, rettet mod journalister, aktivister og dissidenter i U.A.E. Disse angreb brugte spear-phishing lokkemad med booby-fangede links, der førte til makrofyldte dokumenter, og leverede et tilpasset implantat, der var i stand til at udføre forskellige kommandoer.
DarkMatter gruppens Project Raven
Efterfølgende undersøgelser af Reuters i 2019 afslørede en hemmelig operation kaldet Project Raven, der involverede en gruppe af tidligere amerikanske efterretningsagenter rekrutteret af en cybersikkerhedsenhed kaldet DarkMatter til at overvåge enheder, der er kritiske over for det arabiske monarki. Stealth Falcons og Project Ravens taktik og mål tyder på, at de er den samme gruppe.
Denne gruppe er også blevet forbundet med udnyttelsen af zero-day sårbarheder i Windows, herunder CVE-2018-8611 og CVE-2019-0797. Mandiant bemærkede i april 2020, at denne spionagegruppe havde "udnyttet flere nuldage end nogen anden gruppe" fra 2016 til 2019.
ESETs analyse af en indtrængen i en ikke-oplyst statslig enhed i Mellemøsten afslørede Deadglyph som Stealth Falcons seneste værktøj. Indføringsmekanismen for implantatet forbliver uidentificeret, men den starter med en shellcode-indlæser, der aktiverer dets udførelse, som derefter lancerer Deadglyphs oprindelige x64-modul, kaldet Executor. Eksekutoren indlæser efterfølgende en .NET-komponent kendt som Orchestrator, og etablerer kommunikation med kommando-og-kontrolserveren for at afvente yderligere direktiver. Malwaren anvender undvigende teknikker til at undgå opdagelse, herunder evnen til selv at afinstallere.
Instruktioner fra serveren er kategoriseret i Orchestrator-opgaver, Executor-opgaver og Upload-opgaver. Eksekutøropgaver fører tilsyn med bagdørsstyring og eksekvering af supplerende moduler. Orchestrator-opgaver administrerer netværks- og timermodulkonfigurationer og har kapacitet til at annullere afventende opgaver. Identificerede Executor-opgaver omfatter procesinitiering, filtilgængelighed og systemmetadataindsamling. Timer-modulet udfører periodisk polling af C2-serveren sammen med netværksmodulet, som letter C2-kommunikation via HTTPS POST-anmodninger.
Uploadopgaver gør det muligt for bagdøren at uploade kommandoudgange og fejlmeddelelser. Derudover afslørede ESET en kontrolpanel-fil (CPL) fra Qatar, der spillede en central rolle i en flertrinsproces, der potentielt fungerede som et installationsprogram for Deadglyph-malwaren på grund af kodeligheder.
Forklædt som Microsoft
Navnet "Deadglyph" stammer fra hexadecimale ID'er (0xDEADB001 og 0xDEADB101) fundet i bagdøren, sammen med et homoglyphangreb, der forklæder sig som Microsoft ("Ϻicrоsоft Corpоratiоn") i Registry shellcode-indlæserens VERSIONINFO-ressource.
ESET lægger vægt på Deadglyphs vifte af anti-detektionsforanstaltninger, herunder konstant overvågning af systemprocesser og integration af randomiserede netværksmønstre. Desuden har bagdøren mulighed for selv at afinstallere, hvilket væsentligt formindsker dens sandsynlighed for opdagelse i visse scenarier.