I ricercatori di cybersecurity hanno scoperto una backdoor avanzata precedentemente non documentato, denominato deadglyph, utilizzato da un attore minaccioso noto come stealth falcon in una campagna di cyber spionaggio.
Architettura inusuale di deadglyph
L’architettura di deadglyph è insolita in quanto è composta da componenti cooperanti – uno un binario nativo x64, l’altro un assembly .NET. Questa combinazione è inusuale perché il malware tipicamente usa solo un linguaggio di programmazione per i suoi componenti. Si sospetta che l’uso di linguaggi di programmazione diversi sia una tattica deliberata per ostacolare l’analisi, rendendola molto più difficile da navigare e debuggare.
Comandi e funzionalità
A differenza di altri backdoor tradizionali, i comandi sono ricevuti da un server controllato dall’attore sotto forma di moduli aggiuntivi che gli permettono di creare nuovi processi, leggere file e raccogliere informazioni dai sistemi compromessi.
Storia di stealth falcon
Stealth falcon, esposto per la prima volta nel 2016, è stato collegato a una serie di attacchi di spyware mirati in Medio Oriente, mirati a giornalisti, attivisti e dissidenti negli Emirati Arabi Uniti. Una successiva indagine del 2019 ha rivelato un’operazione clandestina chiamata project raven che coinvolgeva un gruppo di ex operatori di intelligence statunitensi reclutati da una società di cybersecurity chiamata Darkmatter per spiare obiettivi critici della monarchia araba.
Deadglyph: l’ultima aggiunta all’arsenale di stealth falcon
Deadglyph è l’ultima aggiunta all’arsenale di stealth falcon, secondo la società di cybersecurity slovacca eset, che ha analizzato un’intrusione in un’entità governativa non nominata in Medio Oriente. Il metodo esatto utilizzato per consegnare l’impianto è attualmente sconosciuto, ma il componente iniziale che attiva la sua esecuzione è un loader di shellcode che estrae e carica shellcode dal Registro di sistema di Windows, che successivamente lancia il modulo nativo x64 di deadglyph, noto come executor.
Funzionalità di evasione
Il malware si impegna anche in una serie di manovre elusive per passare inosservato, compresa la capacità di disinstallare se stesso. I comandi ricevuti dal server sono messi in coda per l’esecuzione e possono rientrare in una delle tre categorie: compiti dell’orchestrator, compiti dell’executor e compiti di upload.
Conclusione tecnica: cosa è deadglyph?
Deadglyph è un backdoor avanzato che utilizza tattiche di evasione e linguaggi di programmazione multipli per ostacolare l’analisi. È in grado di ricevere comandi da un server controllato dall’attore, creare nuovi processi, leggere file e raccogliere informazioni dai sistemi compromessi. Deadglyph è l’ultima aggiunta all’arsenale di stealth falcon, un attore di minaccia noto per le sue campagne di cyber spionaggio.