Ένα νέο και εξελιγμένο κακόβουλο λογισμικό backdoor με το όνομα «Deadglyph» χρησιμοποιήθηκε σε επίθεση κυβερνοκατασκοπείας εναντίον κυβερνητικής υπηρεσίας στη Μέση Ανατολή.
Το κακόβουλο λογισμικό Deadglyph αποδίδεται στο
Stealth
Falcon APT (γνωστό και ως Project Raven ή FruityArmor), μια κρατική ομάδα hacking από τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ).
Η ομάδα hacking ήταν
γνωστό για τη στόχευση
ακτιβιστές, δημοσιογράφοι και αντιφρονούντες για σχεδόν μια δεκαετία.
Σε μια νέα έκθεση που δημοσιεύτηκε στο συνέδριο LABScon για την ασφάλεια στον
κυβερνοχώρο
, ο ερευνητής της
ESET
Filip Jurčacko μοιράζεται την ανάλυση του νέου αρθρωτού κακόβουλου λογισμικού και του τρόπου με τον οποίο μολύνει τις συσκευές Windows.
Επιθέσεις Deadglyph
Η ESET δεν έχει πληροφορίες σχετικά με τα μέσα αρχικής μόλυνσης, αλλά υπάρχει υποψία ότι χρησιμοποιείται ένα κακόβουλο εκτελέσιμο αρχείο, πιθανώς ένα πρόγραμμα εγκατάστασης.
Ωστόσο, η ESET απέκτησε τα περισσότερα από τα στοιχεία της αλυσίδας μόλυνσης για να δώσει μια εικόνα για το πώς λειτουργεί το κακόβουλο λογισμικό και προσπαθεί να αποφύγει τον εντοπισμό.
Η αλυσίδα φόρτωσης του Deadglyph ξεκινά με ένα πρόγραμμα φόρτωσης κελύφους μητρώου (DLL) που εξάγει κώδικα από το μητρώο των Windows για να φορτώσει το στοιχείο Executor (x64), το οποίο με τη σειρά του φορτώνει το στοιχείο Orchestrator (.NET).
Μόνο το αρχικό στοιχείο υπάρχει στο δίσκο του παραβιασμένου συστήματος ως αρχείο DLL, ελαχιστοποιώντας την πιθανότητα εντοπισμού.
Η ESET λέει ότι το πρόγραμμα φόρτωσης θα φορτώσει τον shellcode από το μητρώο των Windows, το οποίο είναι κρυπτογραφημένο για να κάνει την ανάλυση πιο δύσκολη.
Καθώς το στοιχείο DLL είναι αποθηκευμένο στο σύστημα αρχείων, είναι πιο πιθανό να εντοπιστεί. Εξαιτίας αυτού, οι φορείς απειλών χρησιμοποίησαν μια επίθεση ομογλυφικών στον πόρο VERSIONINFO χρησιμοποιώντας διακριτούς ελληνικούς και κυριλλικούς χαρακτήρες Unicode για να μιμηθούν τις πληροφορίες της Microsoft και να εμφανιστούν ως νόμιμο αρχείο των Windows.
“Εντοπίσαμε μια επίθεση ομογλυφικών που μιμείται τη Microsoft Corporation στον πόρο VERSIONINFO αυτού και άλλων στοιχείων PE”, εξηγεί το
Αναφορά ESET
.
“Αυτή η μέθοδος χρησιμοποιεί διακριτούς χαρακτήρες Unicode που φαίνονται οπτικά παρόμοιοι, αλλά σε αυτήν την περίπτωση όχι πανομοιότυποι, με τους αρχικούς χαρακτήρες, συγκεκριμένα το ελληνικό κεφαλαίο γράμμα San (U+03FA, Ϻ) και το κυριλλικό μικρό γράμμα O (U+043E, о) σε Ϻicrоsоft Corporationоn.
Το στοιχείο Executor φορτώνει διαμορφώσεις κρυπτογραφημένες με AES για την κερκόπορτα, αρχικοποιεί το χρόνο εκτέλεσης .NET στο σύστημα, φορτώνει το τμήμα .NET της κερκόπορτας και λειτουργεί ως βιβλιοθήκη του.
Τέλος, ο Ενορχηστρωτής είναι υπεύθυνος για τις επικοινωνίες με τον διακομιστή εντολών και ελέγχου (C2), χρησιμοποιώντας δύο μονάδες για την εργασία, το ‘Timer’ και το ‘
Network
‘.
Εάν η κερκόπορτα αποτύχει να επικοινωνήσει με τον διακομιστή C2 μετά από μια καθορισμένη περίοδο, ενεργοποιεί έναν μηχανισμό αυτοαφαίρεσης για να αποτρέψει την ανάλυσή της από ερευνητές και ειδικούς στον τομέα της κυβερνοασφάλειας.
Η αλυσίδα φόρτωσης Deadglyph
(ESET)
Ένα αρθρωτό κακόβουλο λογισμικό
Το κακόβουλο λογισμικό Deadglyph είναι αρθρωτό, που σημαίνει ότι θα κατεβάσει νέες ενότητες από το C2 που περιέχουν διαφορετικούς κώδικες κελύφους που θα εκτελεστούν από το στοιχείο Executor.
Η χρήση μιας αρθρωτής προσέγγισης επιτρέπει στους παράγοντες απειλής να δημιουργήσουν νέες μονάδες όπως απαιτείται για να προσαρμόσουν τις επιθέσεις, οι οποίες στη συνέχεια μπορούν να προωθηθούν στα θύματα για να εκτελέσουν πρόσθετη κακόβουλη λειτουργία.
Αυτές οι λειτουργικές μονάδες έχουν Windows και προσαρμοσμένα API Executor στη διάθεσή τους, με το τελευταίο να προσφέρει 39 λειτουργίες που καθιστούν δυνατή την εκτέλεση λειτουργιών αρχείων, τη φόρτωση εκτελέσιμων στοιχείων, την πρόσβαση στην προσωποποίηση Token και την εκτέλεση κρυπτογράφησης και κατακερματισμού.
Η ESET πιστεύει ότι υπάρχουν εννέα έως δεκατέσσερις διαφορετικές μονάδες, αλλά θα μπορούσε να αποκτήσει μόνο τρεις: έναν δημιουργό διεργασιών, έναν συλλέκτη πληροφοριών και έναν αναγνώστη αρχείων.
Ο συλλέκτης πληροφοριών χρησιμοποιεί ερωτήματα WMI για να τροφοδοτήσει τον Ενορχηστρωτή με τις ακόλουθες πληροφορίες σχετικά με το παραβιασμένο σύστημα:
- λειτουργικό σύστημα
- προσαρμογείς δικτύου
- εγκατεστημένο λογισμικό
- οδηγεί
- Υπηρεσίες
- οδηγούς
- διαδικασίες
- χρήστες
- μεταβλητές περιβάλλοντος
- λογισμικό ασφαλείας
Ο δημιουργός διαδικασίας είναι ένα εργαλείο εκτέλεσης εντολών που εκτελεί καθορισμένες εντολές ως νέα διαδικασία και δίνει το αποτέλεσμα στον Ενορχηστρωτή.
Η μονάδα ανάγνωσης αρχείων διαβάζει το περιεχόμενο των αρχείων και το περνά στον Ενορχηστρωτή, ενώ δίνει επίσης στους χειριστές τη δυνατότητα να διαγράψουν το αρχείο μετά την ανάγνωση.
Αν και η ESET κατάφερε να αποκαλύψει μόνο ένα κλάσμα των δυνατοτήτων του κακόβουλου λογισμικού, είναι σαφές ότι το Deadglyph του Stealth Falcon είναι μια τρομερή απειλή.
Χωρίς λεπτομερείς πληροφορίες σχετικά με την αρχική μόλυνση, η προσφορά συγκεκριμένων στρατηγικών άμυνας ενάντια στο κακόβουλο λογισμικό είναι αδύνατη.
Προς το παρόν, οι υπερασπιστές μπορούν να βασιστούν στα υπάρχοντα IoC που δημοσιεύονται στην έκθεση.