Novi i sofisticirani backdoor malware pod nazivom Deadglyph korišten je u kampanji sajber špijunaže usmjerenoj na vladinu agenciju na Bliskom istoku. Malware se pripisuje hakerskoj grupi Stealth Falcon, koja je ozloglašena po tome što cilja na aktiviste, novinare i disidente.
Deadglyph metoda infekcije
- Iako je tačan način isporuke trenutno nepoznat, sumnja se da se zlonamjerni x64 izvršni fajl, vjerovatno instaler programa, koristi za propagiranje Deadglypha.
- Zlonamjerna izvršna datoteka, zauzvrat, preuzima komponentu zasnovanu na .NET-u pod nazivom Orchestrator, koja komunicira sa C2 serverom za daljnje zlonamjerne komande.
- Ovo omogućava malware-u da se uključi u niz manevara izbjegavanja kako bi ostao ispod radara.
- Ako backdoor ne uspije uspostaviti komunikaciju sa C2 serverom nakon određenog perioda, on pokreće mehanizam samouklanjanja kako bi spriječio njegovu analizu.
Mogućnosti
- Deadglyph je modularne prirode, što znači da omogućava hakerima da kreiraju ili modifikuju module prilagođene njihovim potrebama.
- ESET vjeruje da backdoor uključuje devet do četrnaest različitih modula, međutim, mogao bi dobiti samo tri: kreator procesa, sakupljač informacija i čitač datoteka.
- Osim toga, malware se može pohvaliti nizom mehanizama protiv izbjegavanja, uključujući kontinuirano praćenje sistemskih procesa i implementaciju nasumičnih mrežnih obrazaca.
Previše malware backdoor-a u posljednje vrijeme
- Nedavno je kineskoj hakerskoj grupi Earth Lusca pripisan novi Linux backdoor, SprySOCKS, koji je ciljao više vladinih organizacija u nekoliko zemalja.
- U drugom incidentu, haker je koristio dva nova backdoor -a — HTTPSnoop i PipeSnoop — u kampanji sajber špijunaže usmjerenoj na telekomunikacijske organizacije sa Bliskog istoka. Ovi backdoor-i su maskirani kao popularni softverski proizvodi i koristili su opsežne mehanizme protiv otkrivanja kako bi ostali ispod radara.
- Nadalje, pronađena je nova Sandman APT grupa koja koristi modularni backdoor pod nazivom LuaDream za ciljanje provajdera telekomunikacijskih usluga u Evropi i Aziji. Malware koristi LuaJIT platformu za širenje na sistemima ciljanih organizacija.
Zaključak
Istraživači tek treba da otkriju čitav niz mogućnosti Deadglyph malvera dok se istraga nastavlja. U međuvremenu, organizacijama se savjetuje da iskoriste IOC povezane sa zlonamjernim softverom kako bi zaštitile krajnje tačke ili mreže osjetljive na napade.
Izvor: Cyware Alerts – Hacker News
