Một tổ chức phi lợi nhuận Hồi giáo giấu tên ở Ả Rập Saudi đã bị nhắm mục tiêu như một phần của chiến dịch gián điệp mạng lén lút được thiết kế để thả một cửa hậu không có giấy tờ trước đây có tên là Zardoor.
Cisco Talos, công ty phát hiện ra hoạt động này vào tháng 5/2023, cho biết chiến dịch có thể đã tồn tại ít nhất là từ tháng 3/2021, đồng thời cho biết thêm rằng họ chỉ xác định được một mục tiêu bị xâm phạm cho đến nay, mặc dù nghi ngờ rằng có thể có các nạn nhân khác.
"Trong suốt chiến dịch, kẻ thù đã sử dụng các hệ nhị phân sống ngoài đất liền (LoLBins) để triển khai các cửa hậu, thiết lập chỉ huy và kiểm soát (C2) và duy trì sự kiên trì", các nhà nghiên cứu bảo mật Jungsoo An, Wayne Lee và Vanja Svajcer cho biết, chỉ ra khả năng của tác nhân đe dọa trong việc duy trì quyền truy cập lâu dài vào môi trường nạn nhân mà không thu hút sự chú ý.
Sự xâm nhập nhắm vào tổ chức từ thiện Hồi giáo liên quan đến việc lọc dữ liệu định kỳ khoảng hai lần một tháng. Vectơ truy cập ban đầu chính xác được sử dụng để xâm nhập vào thực thể hiện chưa được biết.
Tuy nhiên, chỗ đứng có được đã được tận dụng để loại bỏ Zardoor vì sự bền bỉ, tiếp theo là thiết lập các kết nối C2 bằng các công cụ proxy ngược nguồn mở như Fast Reverse Proxy (FRP), sSocks và Venom.
"Khi kết nối được thiết lập, tác nhân đe dọa đã sử dụng Thiết bị quản lý Windows (WMI) để di chuyển ngang và phát tán các công cụ của kẻ tấn công - bao gồm cả Zardoor - bằng cách sinh ra các quy trình trên hệ thống mục tiêu và thực hiện các lệnh nhận được từ C2", các nhà nghiên cứu cho biết.
Con đường lây nhiễm chưa được xác định mở đường cho một thành phần nhỏ giọt, lần lượt, triển khai một thư viện liên kết động độc hại ("oci.dll") chịu trách nhiệm cung cấp hai mô-đun cửa hậu, "zar32.dll" và "zor32.dll".
Trong khi cái trước là yếu tố backdoor cốt lõi tạo điều kiện thuận lợi cho giao tiếp C2, cái sau đảm bảo rằng "zar32.dll" đã được triển khai với các đặc quyền của quản trị viên. Zardoor có khả năng trích xuất dữ liệu, thực thi các tệp thực thi và shellcode được tìm nạp từ xa, cập nhật địa chỉ IP C2 và tự xóa khỏi máy chủ.
Nguồn gốc của tác nhân đe dọa đằng sau chiến dịch không rõ ràng và nó không chia sẻ bất kỳ sự chồng chéo chiến thuật nào với một tác nhân đe dọa đã biết, được báo cáo công khai tại thời điểm này. Điều đó nói rằng, nó được đánh giá là công việc của một "tác nhân đe dọa tiên tiến".