Deadglyph-Hintertür
Cybersicherheitsanalysten haben kürzlich eine fortschrittliche Hintertür namens „Deadglyph“ entdeckt, die zuvor nicht dokumentiert wurde. Diese hochentwickelte Malware wurde von einem Bedrohungsakteur namens „Stealth Falcon“ im Rahmen seiner Cyberspionagekampagne eingesetzt.
Was Deadglyph auszeichnet, ist seine unkonventionelle Architektur, die aus zwei zusammenwirkenden Komponenten besteht. Eine davon ist eine native x64-Binärdatei, während die andere eine .NET-Assembly ist. Diese Abweichung von der Norm ist bemerkenswert, da die meisten Malware-Komponenten typischerweise auf einer einzigen Programmiersprache basieren. Die Einführung dieses zweisprachigen Ansatzes legt die Möglichkeit separater Entwicklungsanstrengungen für diese beiden Komponenten nahe und nutzt dabei die einzigartigen Fähigkeiten jeder Programmiersprache.
Darüber hinaus besteht der Verdacht, dass der bewusste Einsatz verschiedener Programmiersprachen als strategische Taktik dient, um Analysebemühungen zu behindern. Dies macht es für Sicherheitsforscher erheblich schwieriger, sich in der Malware zurechtzufinden und sie zu debuggen, was ihre Erkennung und Abwehr noch komplexer macht.
Inhaltsverzeichnis
Deadglyph Backdoor weist ungewöhnliche Eigenschaften auf
Deadglyph stellt die neueste Ergänzung zum Arsenal von Stealth Falcon dar, das in einer nicht genannten Regierungseinheit im Nahen Osten eingesetzt wird. Dieses Bedrohungstool unterscheidet sich von herkömmlichen Hintertüren dadurch, dass es Befehle von einem Server erhält, der vom Bedrohungsakteur kontrolliert wird. Diese Befehle kommen in Form von Zusatzmodulen an und geben Deadglyph die Möglichkeit, neue Prozesse zu initiieren, auf Dateien zuzugreifen und Daten von kompromittierten Systemen zu sammeln.
Die genaue Methode der Implantation bleibt ein Rätsel. Der erste Auslöser für die Ausführung ist jedoch ein Shellcode-Loader, der Shellcode aus der Windows-Registrierung abruft und lädt. Dies wiederum initiiert die Ausführung der nativen x64-Komponente von Deadglyph, die als „Executor“ bekannt ist.
Eine Deadglyph-Infektion kann für die Opfer katastrophale Folgen haben
Sobald der Executor aktiviert ist, lädt er eine .NET-Komponente namens „Orchestrator“. Der Orchestrator stellt die Kommunikation mit dem Command-and-Control-Server (C2) her und wartet auf weitere Anweisungen. Diese Malware nutzt außerdem eine Reihe von Umgehungstaktiken, um unter dem Radar zu bleiben, und verfügt sogar über die Fähigkeit, sich selbst zu deinstallieren. Vom Server empfangene Befehle werden zur Ausführung in die Warteschlange gestellt und fallen in drei verschiedene Kategorien: Orchestrator-Aufgaben, Executor-Aufgaben und Upload-Aufgaben.
Executor-Aufgaben gewähren die Kontrolle über die Verwaltung der Backdoor und die Ausführung zusätzlicher Module. Orchestrator-Aufgaben hingegen verwalten die Konfiguration der Netzwerk- und Timer-Module und können ausstehende Aufgaben abbrechen.
Es wurden mehrere Executor-Aufgaben identifiziert, darunter die Erstellung von Prozessen, der Dateizugriff und die Erfassung von Systemmetadaten. Das Timer-Modul kontaktiert in Verbindung mit dem Netzwerkmodul regelmäßig den C2-Server und erleichtert so die C2-Kommunikation über HTTPS-POST-Anfragen. Upload-Aufgaben ermöglichen es der Hintertür, wie der Name schon sagt, die Ergebnisse von Befehlen und alle aufgetretenen Fehler zu übertragen.
Deadglyph verfügt über eine Reihe von Anti-Erkennungsmechanismen, darunter die kontinuierliche Überwachung von Systemprozessen und die Implementierung zufälliger Netzwerkmuster. Darüber hinaus verfügt es über die Fähigkeit, sich in bestimmten Szenarien selbst zu deinstallieren, um die Wahrscheinlichkeit einer Entdeckung zu verringern.
Die Stealth Falcon Cybercrime Group ist seit fast einem Jahrzehnt tätig
Der Stealth Falcon, auch bekannt als FruityArmor, erlangte erstmals 2016 öffentliche Aufmerksamkeit, als Forscher seine Beteiligung an gezielten Spyware-Angriffen im Nahen Osten aufdeckten. Diese Angriffe richteten sich gegen Journalisten, Aktivisten und Dissidenten in den Vereinigten Arabischen Emiraten (VAE). Die Bedrohungsakteure setzten Spear-Phishing-Taktiken ein und lockten Opfer mit betrügerischen Links in E-Mails, die zu mit Makros gefüllten Dokumenten führten. Diese Dokumente dienten als Übertragungsmechanismen für ein maßgeschneidertes Implantat, das beliebige Befehle ausführen konnte.
Eine anschließende Untersuchung im Jahr 2019 brachte eine verdeckte Operation namens Project Raven ans Licht, an der eine Gruppe ehemaliger US-Geheimdienstexperten beteiligt war, die von einer Cybersicherheitsfirma namens DarkMatter rekrutiert wurden. Ihre Aufgabe bestand darin, Personen zu überwachen, die der arabischen Monarchie kritisch gegenüberstanden. Bemerkenswerterweise scheinen Stealth Falcon und Project Raven ein und dasselbe zu sein, wie ihre gemeinsamen Taktiken und Ziele beweisen.
Im Laufe der Zeit wurde diese Gruppe mit der Ausnutzung von Zero-Day-Schwachstellen in Windows in Verbindung gebracht, darunter CVE-2018-8611 und CVE-2019-0797. Forscher im Bereich Informationssicherheit haben festgestellt, dass diese Spionagegruppe zwischen 2016 und 2019 Zero-Day-Schwachstellen in größerem Umfang genutzt hat als jedes andere Unternehmen.
Etwa zur gleichen Zeit wurde beobachtet, wie der Angreifer eine Hintertür namens Win32/StealthFalcon nutzte. Diese Bedrohung nutzte den Windows Background Intelligent Transfer Service (BITS) für die Command-and-Control-Kommunikation (C2) und ermöglichte den Angreifern so die vollständige Kontrolle über kompromittierte Endpunkte.
