Ένα νέο backdoor malware με το όνομα “Deadglyph” εντοπίστηκε σε επίθεση κυβερνοκατασκοπείας εναντίον μιας κυβερνητικής υπηρεσίας στη Μέση Ανατολή. Αυτό το νέο κακόβουλο λογισμικό συνδέεται με τους Stealth Falcon APT hackers (γνωστoί και ως Project Raven ή FruityArmor), μια κρατική ομάδα hacking από τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ).
Οι Stealth Falcon hackers στοχεύουν ακτιβιστές, δημοσιογράφους και αντιφρονούντες εδώ και σχεδόν μια δεκαετία.
Σε μια νέα έκθεση που δημοσιεύτηκε στο συνέδριο LABScon για την κυβερνοασφάλεια, ο ερευνητής της ESET, Filip Jurčacko, παρουσιάζει την ανάλυσή του για το νέο κακόβουλο λογισμικό και τον τρόπο με τον οποίο μολύνει τις συσκευές με λειτουργικό σύστημα Windows.
Δείτε επίσης: Air Canada: Αποκάλυψε παραβίαση δεδομένων υπαλλήλων
Deadglyph backdoor malware
Η ESET δεν διαθέτει πληροφορίες σχετικά με τον τρόπο αρχικής μόλυνσης. Ωστόσο, υπάρχει υποψία ότι χρησιμοποιείται ένα κακόβουλο εκτελέσιμο αρχείο (ίσως ένα πρόγραμμα εγκατάστασης).
Από την άλλη, η εταιρεία κατάφερε να μάθει τα περισσότερα από τα components της αλυσίδας μόλυνσης.
Το loading chain του Deadglyph backdoor malware ξεκινά με ένα registry shellcode loader (DLL) που εξάγει κώδικα από το Windows registry για να φορτώσει το Executor (x64) component, το οποίο με τη σειρά του φορτώνει το Orchestrator (.NET) component.
Μόνο το αρχικό component υπάρχει στον δίσκο του παραβιασμένου συστήματος, ως αρχείο DLL, ελαχιστοποιώντας έτσι την πιθανότητα εντοπισμού.
Η ESET λέει ότι το πρόγραμμα φόρτωσης θα φορτώσει το shellcode από το Windows Registry το οποίο είναι κρυπτογραφημένο για να κάνει την ανάλυση πιο δύσκολη.
Καθώς το DLL component είναι αποθηκευμένο στο σύστημα αρχείων, είναι πιο πιθανό να εντοπιστεί. Γι’ αυτό το λόγο, οι hackers χρησιμοποίησαν μια επίθεση homoglyph στο VERSIONINFO resource χρησιμοποιώντας διακριτούς ελληνικούς και κυριλλικούς χαρακτήρες Unicode για να μιμηθούν τις πληροφορίες της Microsoft και να εμφανιστούν ως νόμιμο αρχείο των Windows.
“Εντοπίσαμε μια επίθεση homoglyph που μιμείται τη Microsoft Corporation στο VERSIONINFO resource αυτού και άλλων PE components“, εξηγεί η ESET.
Το Executor component φορτώνει configurations κρυπτογραφημένα με AES για το backdoor, ξεκινά το .NET runtime στο σύστημα, φορτώνει το τμήμα .NET του backdoor και λειτουργεί ως βιβλιοθήκη του.
Τέλος, το Orchestrator είναι υπεύθυνο για τις επικοινωνίες με τον διακομιστή εντολών και ελέγχου (C2). Εάν το backdoor δεν καταφέρει να επικοινωνήσει με τον διακομιστή C2 μετά από μια καθορισμένη περίοδο, ενεργοποιεί έναν μηχανισμό αυτοαφαίρεσης για να εμποδίσει τους ερευνητές ασφαλείας να το αναλύσουν.
Δείτε επίσης: Χάκερ ανακατευθύνουν τους επισκέπτες των ξενοδοχείων σε ψεύτικη σελίδα Booking.com
Deadglyph backdoor malware: Ένα modular malware
Το Deadglyph malware των Stealth Falcon hackers είναι modular, το οποίο σημαίνει ότι μπορεί να κατεβάζει νέα modules από το C2, που περιέχουν διαφορετικά shellcodes, για να εκτελεστούν από το Executor component.
Ουσιαστικά, με αυτόν τον τρόπο, οι εγκληματίες του κυβερνοχώρου μπορούν να δημιουργήσουν νέα modules για να προσαρμόσουν τις επιθέσεις τους, τα οποία στη συνέχεια μπορούν να προωθηθούν στα θύματα για να εκτελέσουν πρόσθετη κακόβουλη δραστηριότητα.
Έτσι, μπορούν να κάνουν διάφορα πράγματα, όπως εκτέλεση λειτουργιών αρχείων, φόρτωση εκτελέσιμων αρχείων, πρόσβαση σε Token Impersonation και εκτέλεση κρυπτογράφησης και hashing.
Η ESET πιστεύει ότι υπάρχουν εννέα έως δεκατέσσερα διαφορετικά modules αλλά δεν μπόρεσε να τα αναλύσει όλα.
Ένα από τα modules λειτουργεί σαν συλλέκτης πληροφοριών και τροφοδοτεί το Orchestrator component με τις ακόλουθες πληροφορίες σχετικά με το παραβιασμένο σύστημα:
- λειτουργικό σύστημα
- network adapters
- εγκατεστημένο λογισμικό
- drives
- υπηρεσίες
- drivers
- διαδικασίες
- χρήστες
- environment variables
- λογισμικό ασφαλείας
Παρότι η ESET αποκάλυψε μόνο ένα μικρό μέρος των δυνατοτήτων του κακόβουλου λογισμικού, είναι εμφανές ότι το Deadglyph backdoor malware, που χρησιμοποιούν οι Stealth Falcon hackers για επιθέσεις κυβερνοκατασκοπείας, αποτελεί μια σοβαρή απειλή.
Δείτε επίσης: Medusa ransomware: Το PhilHealth παρέλυσε από επίθεση
Δυστυχώς, χωρίς λεπτομερείς πληροφορίες σχετικά με την αρχική μόλυνση, είναι αδύνατο να προσφέρουμε συγκεκριμένες στρατηγικές άμυνας κατά του κακόβουλου λογισμικού. Αυτήν τη στιγμή, οι υπερασπιστές συστημάτων μπορούν να βασιστούν στα υπάρχοντα IoC που έχουν δημοσιευτεί στην έκθεση της ESET.
Τα backdoor malware αποτελούν έναν από τους πιο επικίνδυνους τύπους κακόβουλου λογισμικού. Σχεδιασμένα για να παραμείνουν κρυφά στα συστήματα, παρέχουν στους εγκληματίες του κυβερνοχώρου τη δυνατότητα να αποκτήσουν τον έλεγχο ενός συστήματος, να συλλέγουν προσωπικά δεδομένα ή να μετατρέψουν το σύστημα σε μέρος ενός botnet. Οι επιθέσεις με backdoor malware μπορεί να είναι δύσκολο να εντοπιστούν και ακόμα πιο δύσκολο να αντιμετωπιστούν. Η προστασία εναντίον αυτών των επιθέσεων απαιτεί μια ενεργή στρατηγική κυβερνοασφάλειας, που συμπεριλαμβάνει τακτικές ενημερώσεις λογισμικού, ισχυρά μέτρα προστασίας των δεδομένων και συνεχής ενημέρωση σχετικά με τις νέες τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/483755/stealth-falcon-hackers-xrisimopoioun-neo-deadglyph-malware/&media=https://www.secnews.gr/wp-content/uploads/2023/09/DEADGLYPH-min.jpg&description=Ένα νέο backdoor malware με το όνομα "Deadglyph" χρησιμοποιείται σε επίθεση κυβερνοκατασκοπείας από τους Stealth Falcon APT hackers){kind=link}