Skupina Stealth Falcon využívá při svých kampaních nově objevený backdoor DeadGlyph

Kyberšpionážní skupina Stealth Falcon (známá také jako Fruity Armor nebo Project Raven), pravděpodobně napojená na Spojené arabské emiráty, využívá ve svých kampaních zaměřených na vládní subjekty nedávno objevený backdoor DeadGlyph.

Kdo je Stealth Falcon?

APT skupina Stealth Falcon byla poprvé objevena společností Citizen Lab v roce 2016 a je spojena se sadou cílených spywarových útoků na Blízkém východě. Ty se od roku 2012 zaměřovaly prostřednictvím spear-phishingových zpráv především na novináře, aktivisty a disidenty působící ve Spojených arabských emirátech.

Následné vyšetřování, které provedla agentura Reuters v roce 2019, odhalilo tajnou operaci nazvanou Project Raven. Skupina bývalých zaměstnanců americké National Security Agency (NSA) byla naverbována firmou DarkMatter s cílem podílet se na vývoji invazivního spywaru KARMA. Ten byl výjimečný tím, že se dokázal infiltrovat do mobilních zařízení obětí bez potřeby interakce (tzv. zero-click exploit), které se vyznačovaly především kritikou vůči arabské monarchii. Vyšetřování odhalilo, že KARMA cílila pouze na zařízení od společnosti Apple. Bezpečnostní společnosti začaly aktivitu Stealth Falcon sledovat a v letech 2020 až 2023 byly zdokumentovány útoky této skupiny na finanční a logistické společnosti na Blízkém východě. V zaří 2023 slovenská společnost ESET zveřejnila analýzu nového backdooru DeadGlyph.

Backdoor DeadGlyph

Název backdooru byl odvozen jednak od artefaktů nalezených v backdooru a jednak od typu útoku, který se nazývá homoglyfový.

Homoglyf je pojem z oboru typografie, kterým se rozumí dva grafémy či znaky, jež jsou si natolik vzhledově podobné, že při čtení je vysoce pravděpodobná jejich chybná interpretace. V tomto případě byla namísto standardních latinských znaků obvykle používaných v angličtině v řetězci “Microsoft Corporation” použita azbuka “M” a řecká písmena “o”.

Samotná architektura backdooru Deadglyph je neobvyklá, neboť se skládá ze vzájemně propojených komponent – jedna je nativní binární soubor x64, druhý je .NET assembler. Tato kombinace je nezvyklá už z toho důvodu, že malware zpravidla používá pro své jednotlivé části pouze jeden programovací jazyk. Tento rozdíl by mohl naznačovat oddělený vývoj těchto dvou komponent a zároveň využití jedinečných vlastností odlišných programovacích jazyků, které využívá. Zároveň může použití jiného programovacího jazyka ztížit reverzní analýzu, neboť kombinovaný kód se hůře prochází a upravuje.

Tradiční příkazy backdooru nejsou implementovány v binárním souboru, ale jsou dynamicky přijímány z C2 serveru v podobě dodatečných modulů. Zároveň se backdoor vyznačuje řadou schopností, jak se vyhnout detekci, včetně nepřetržitého monitorování systémových procesů a implementace náhodných síťových vzorů.

Deadglyph je backdoor, který se skládá ze tří hlavních komponent, které jsou zpravidla zašifrovány pomocí klíčů specifických pro daný stroj: zavaděče shellkódu v registru nebo spustitelného souboru a orchestrátoru. Další varianta Deadglyph obsahuje spustitelný soubor a orchestrátor v jediném souboru.

Loading chain backdooru DeadGlyph (ESET)

Shellkód z registru načte spustitelný soubor, který následně načte část orchestrátoru .NET backdooru. Část orchestrátoru komunikuje s C2 serverem a předává příkazy modulu spustitelnému souboru, který provádí úlohy – včetně čtení souborů, shromažďování informací a vytváření procesů na kompromitovaném hostiteli.

Orchestrátor využívá k interakci s C2 serverem časovač a síťové moduly.

Modul časovače iniciuje zpětná volání s C2 servery v pravidelných intervalech s použitím náhodného časového intervalu, tak aby se vyhnul detekci, zatímco síťový modul komunikuje s C2 serverem prostřednictvím požadavků HTTPS POST requests.

Týmu ESET Research se podařilo získat tři z těchto modulů, které odhalují zlomek všech schopností Deadglyphu: Process creator, File reader a Info collector. Modul Info collector shromažďuje rozsáhlé informace o počítači, včetně podrobností o operačním systému, nainstalovaném softwaru a ovladačích, procesech, službách, uživatelích a bezpečnostním softwaru. Modul pro čtení souborů File reader je navíc schopen číst zadané soubory; v jednom případě byl modul použit k získání datového souboru aplikace Outlook.

Zajímavostí je, že identifikované soubory byly podepsány pomocí certifikátu, jehož platnost vypršela, a který byl vydán společnosti RHM LIMT se sériovým číslem f0fb1390f5340cd2572451d95db1d92d.

V jednom případě útočník pravděpodobně zneužil zranitelnost CVE-2023-23397 umožňující zvýšení oprávnění v aplikaci Microsoft Outlook ke stažení a spuštění souboru multistage downloaderu CPL ze vzdáleného hostitele prostřednictvím komunikačního protokolu WebDAV.

TTP APT Stealth Falcon

Mezi typické TTP Stealth Falcon patří využívání pečlivě segmentované útočné infrastruktury, při které dochází k minimálnímu využívání stejných poskytovatelů. To má s velkou pravděpodobností jediný cíl: omezit snahy o sledování skupiny ze strany bezpečnostních výzkumníků.

Skupina při svých útocích, kromě výše uvedené zranitelnosti, využila a využívá celou řadu  zero-day zranitelností ve Windows, jako jsou CVE-2018-8611 a CVE-2019-0797. Mandiant v dubnu 2020 poznamenal, že v letech 2016-2019 využila Stealth Falcon více zero-day zranitelností než jakákoliv jiná skupina.

Oběti Stealth Falcon

Stealth Falcon se historicky zaměřuje na disidenty a novináře, ale v zatím poslední zaznamenané kampani s využitím backdooru DeadGlyph jsou oběťmi vládní subjekty na Blízkém východě, které byly kompromitovány pravděpodobně za účelem špionáže. Pro Českou republiku je zajímavé, že podobné vzorky DeadGlyph nahráli do veřejného úložiště malwaru Virus Total uživatelé v Kataru a v České republice, což může znamenat, že tyto dvě země mohly být možnými geografickými cíli. Zároveň je možné, že “české” vzorky DeadGlyph pochází od bezpečnostních analytiků, kteří backdoor analyzují.

Zdroje: ESET, CitizenLabs, Reuters, Kaspersky Lab

Přejít nahoru