Các nhà nghiên cứu an ninh mạng đã phát hiện ra một cửa hậu tiên tiến không có giấy tờ trước đây có tên là Deadglyph được sử dụng bởi một tác nhân đe dọa được gọi là Stealth Falcon như một phần của chiến dịch gián điệp mạng.
"Kiến trúc của Deadglyph rất khác thường vì nó bao gồm các thành phần hợp tác – một là nhị phân x64 gốc, một là lắp ráp .NET", ESET cho biết trong một báo cáo mới được chia sẻ với The Hacker News.
"Sự kết hợp này là bất thường vì phần mềm độc hại thường chỉ sử dụng một ngôn ngữ lập trình cho các thành phần của nó. Sự khác biệt này có thể cho thấy sự phát triển riêng biệt của hai thành phần đó đồng thời tận dụng các tính năng độc đáo của các ngôn ngữ lập trình riêng biệt mà chúng sử dụng.
Người ta cũng nghi ngờ rằng việc sử dụng các ngôn ngữ lập trình khác nhau là một chiến thuật có chủ ý để cản trở phân tích, khiến việc điều hướng và gỡ lỗi trở nên khó khăn hơn rất nhiều.
Không giống như các cửa hậu truyền thống khác thuộc loại này, các lệnh được nhận từ một máy chủ do tác nhân điều khiển dưới dạng các mô-đun bổ sung cho phép nó tạo các quy trình mới, đọc tệp và thu thập thông tin từ các hệ thống bị xâm nhập.
Stealth Falcon (hay còn gọi là FruityArmor) lần đầu tiên bị Citizen Lab tiết lộ vào năm 2016, liên kết nó với một loạt các cuộc tấn công phần mềm gián điệp có chủ đích ở Trung Đông nhằm vào các nhà báo, nhà hoạt động và nhà bất đồng chính kiến ở UAE bằng cách sử dụng mồi lừa đảo nhúng các liên kết bị mắc kẹt chỉ đến các tài liệu có viền macro để cung cấp một bộ cấy ghép tùy chỉnh có khả năng thực hiện các lệnh tùy ý.
Một cuộc điều tra sau đó do Reuters thực hiện vào năm 2019 đã tiết lộ một hoạt động bí mật có tên Project Raven liên quan đến một nhóm cựu nhân viên tình báo Mỹ được một công ty an ninh mạng có tên DarkMatter tuyển dụng để do thám các mục tiêu quan trọng của chế độ quân chủ Ả Rập.
Stealth Falcon và Project Raven được cho là cùng một nhóm dựa trên sự chồng chéo về chiến thuật và nhắm mục tiêu.
Nhóm này kể từ đó đã được liên kết với việc khai thác lỗ hổng zero-day của Windows như CVE-2018-8611 và CVE-2019-0797, với Mandiant lưu ý vào tháng 2020 năm 2016 rằng diễn viên gián điệp "đã sử dụng nhiều zero-day hơn bất kỳ nhóm nào khác" từ năm 2019 đến năm <>.
Cùng thời gian đó, ESET đã trình bày chi tiết việc kẻ thù sử dụng một cửa hậu có tên Win32 / StealthFalcon được phát hiện sử dụng Dịch vụ truyền thông minh nền Windows (BITS) để liên lạc chỉ huy và kiểm soát (C2) và để giành quyền kiểm soát hoàn toàn điểm cuối.
Deadglyph là sự bổ sung mới nhất cho kho vũ khí của Stealth Falcon, theo công ty an ninh mạng Slovakia, đã phân tích một cuộc xâm nhập vào một thực thể chính phủ giấu tên ở Trung Đông.
Phương pháp chính xác được sử dụng để cung cấp cấy ghép hiện vẫn chưa được biết, nhưng thành phần ban đầu kích hoạt thực thi của nó là bộ tải shellcode trích xuất và tải shellcode từ Windows Registry, sau đó khởi chạy mô-đun x64 gốc của Deadglyph, được gọi là Executor.
Executor sau đó tiến hành tải một thành phần .NET được gọi là Orchestrator mà lần lượt, giao tiếp với máy chủ chỉ huy và kiểm soát (C2) để chờ hướng dẫn thêm. Phần mềm độc hại cũng tham gia vào một loạt các thao tác lẩn tránh để bay dưới radar, tính khả năng tự gỡ cài đặt.
Các lệnh nhận được từ máy chủ được xếp hàng để thực thi và có thể thuộc một trong ba loại: Tác vụ điều phối, tác vụ Người thực thi và Tác vụ tải lên.
"Các tác vụ thực thi cung cấp khả năng quản lý backdoor và thực thi các mô-đun bổ sung", ESET cho biết. "Các tác vụ điều phối cung cấp khả năng quản lý cấu hình của các mô-đun Mạng và Bộ hẹn giờ, đồng thời hủy bỏ các tác vụ đang chờ xử lý."
Một số tác vụ Executor được xác định bao gồm tạo quy trình, truy cập tệp và thu thập siêu dữ liệu hệ thống. Mô-đun Hẹn giờ được sử dụng để thăm dò máy chủ C2 định kỳ kết hợp với mô-đun Mạng, thực hiện giao tiếp C2 bằng cách sử dụng các yêu cầu HTTPS POST.
Tải lên các tác vụ, như tên của nó, cho phép backdoor tải lên đầu ra của các lệnh và lỗi.
ESET cho biết họ cũng xác định được một tệp bảng điều khiển (CPL) được tải lên VirusTotal từ Qatar, được cho là có chức năng như một điểm khởi đầu cho một chuỗi nhiều giai đoạn mở đường cho trình tải xuống shellcode có một số điểm tương đồng với Deadglyph.
Mặc dù bản chất của shellcode được truy xuất từ máy chủ C2 vẫn chưa rõ ràng, nhưng người ta đã đưa ra giả thuyết rằng nội dung có khả năng đóng vai trò là trình cài đặt cho phần mềm độc hại Deadglyph.
Deadglyph lấy tên từ các tạo tác được tìm thấy trong backdoor (ID thập lục phân 0xDEADB001 và 0xDEADB101 cho mô-đun Timer và cấu hình của nó), cùng với sự hiện diện của một cuộc tấn công homoglyph mạo danh Microsoft ("Ϻicrоsоft Corpоratiоn") trong tài nguyên VERSIONINFO của trình tải shellcode Registry.
"Deadglyph tự hào có một loạt các cơ chế chống phát hiện, bao gồm giám sát liên tục các quy trình hệ thống và thực hiện các mẫu mạng ngẫu nhiên", công ty cho biết. "Hơn nữa, backdoor có khả năng tự gỡ cài đặt để giảm thiểu khả năng bị phát hiện trong một số trường hợp nhất định."