Stealth Soldier-Malware

\

Die Cybersicherheits-Community hat kürzlich eine neu identifizierte benutzerdefinierte Hintertür namens „Stealth Soldier“ entdeckt, die in einer Reihe raffinierter und gezielter Spionagekampagnen in Nordafrika eingesetzt wurde.

Der Stealth Soldier ist eine undokumentierte Backdoor-Malware, die über eine Reihe von Überwachungsfunktionen verfügt, die darauf abzielen, vertrauliche Informationen von kompromittierten Systemen zu sammeln. Es führt verschiedene Überwachungsfunktionen aus, wie z. B. das Extrahieren von Dateien vom infizierten Gerät, das Aufzeichnen von Aktivitäten auf dem Bildschirm und dem Mikrofon, das Protokollieren von Tastenanschlägen und das Stehlen von browserbezogenen Daten.

Ein bemerkenswerter Aspekt dieser Angriffsoperation ist der Einsatz von Command-and-Control-Servern (C&C), die Websites imitieren, die mit dem libyschen Außenministerium in Verbindung stehen. Durch die Nachahmung dieser legitimen Websites schaffen die Angreifer eine betrügerische Umgebung, die die Ausführung ihrer böswilligen Aktivitäten unterstützt. Die ersten Spuren dieser Stealth-Soldier-Kampagne lassen sich bis Oktober 2022 zurückverfolgen, was darauf hindeutet, dass die Angreifer schon seit geraumer Zeit aktiv im Einsatz sind.

Die Stealth Soldier-Malware-Betreiber nutzen Social-Engineering-Taktiken

Die Angriffskampagne beginnt damit, dass potenzielle Ziele durch Social-Engineering-Taktiken dazu verleitet werden, bösartige Downloader-Binärdateien herunterzuladen. Diese betrügerischen Binärdateien dienen als Mittel zur Verbreitung der Stealth Soldier-Malware und zeigen gleichzeitig eine scheinbar harmlose Täuschungs-PDF-Datei an, um die Opfer abzulenken.

Sobald die Stealth Soldier-Malware erfolgreich eingesetzt wurde, wird ihr benutzerdefiniertes modulares Implantat aktiv. Dieses Implantat, von dem angenommen wird, dass es sparsam eingesetzt wird, um einer Entdeckung zu entgehen, stattet die Malware mit einer Reihe von Überwachungsmöglichkeiten aus. Es sammelt Verzeichnislisten und Browser-Anmeldeinformationen, protokolliert Tastatureingaben, zeichnet Audio vom Mikrofon des Geräts auf, erfasst Screenshots, lädt Dateien hoch und führt PowerShell-Befehle aus.

Die Malware verwendet verschiedene Arten von Befehlen. Bei einigen Befehlen handelt es sich um Plugins, die vom Command-and-Control-Server (C&C) heruntergeladen werden, bei anderen handelt es sich um in die Malware selbst eingebettete Module. Dieser modulare Ansatz ermöglicht Flexibilität und Anpassungsfähigkeit in der Funktionalität der Malware. Dies weist auch darauf hin, dass die Betreiber die Malware aktiv pflegen und aktualisieren, wie die Entdeckung von drei unterschiedlichen Versionen des Stealth Soldier zeigt.

Obwohl einige der Komponenten des Stealth Soldier nicht mehr zugänglich sind, hat die Analyse ergeben, dass bestimmte Funktionalitäten, wie z. B. die Bildschirmaufnahme und der Diebstahl von Browser-Anmeldeinformationen, von Open-Source-Projekten inspiriert wurden, die auf GitHub verfügbar sind. Dies deutet darauf hin, dass sich die Bedrohungsakteure hinter Stealth Soldier von vorhandenen Tools inspirieren ließen und diese in ihre benutzerdefinierte Malware integriert haben, um deren Fähigkeiten und Wirksamkeit zu verbessern.

Ähnlichkeiten mit zuvor aufgezeichneten Malware-Vorgängen

Darüber hinaus wurde festgestellt, dass die vom Stealth Soldier genutzte Infrastruktur Ähnlichkeiten mit der Infrastruktur aufweist, die mit einer früheren Phishing-Kampagne namens Eye on the Nile verbunden ist. Die Kampagne „Eye on the Nile“ richtete sich 2019 gegen ägyptische Journalisten und Menschenrechtsaktivisten.

Diese Entwicklung deutet auf ein mögliches Wiederaufleben des Bedrohungsakteurs hin, der für beide Kampagnen verantwortlich ist. Es deutet darauf hin, dass sich die Gruppe speziell auf die Durchführung von Überwachungsaktivitäten konzentriert, die sich gegen Einzelpersonen in Ägypten und Libyen richten.

Angesichts des modularen Charakters der Malware und der Nutzung mehrerer Infektionsstufen ist es sehr wahrscheinlich, dass die Angreifer ihre Taktiken und Techniken weiter anpassen werden. Diese Anpassungsfähigkeit impliziert, dass der Bedrohungsakteur in naher Zukunft wahrscheinlich aktualisierte Versionen der Malware veröffentlichen und möglicherweise neue Funktionen und Ausweichmanöver einführen wird, um seine Überwachungsziele voranzutreiben.