Novi modularni Deadglyph backdoor korišten u napadu na vladu

Novi i sofisticirani backdoor malware pod nazivom Deadglyph korišten je u kampanji sajber špijunaže usmjerenoj na vladinu agenciju na Bliskom istoku. Malware se pripisuje hakerskoj grupi Stealth Falcon, koja je ozloglašena po tome što cilja na aktiviste, novinare i disidente.

Deadglyph metoda infekcije

  • Iako je tačan način isporuke trenutno nepoznat, sumnja se da se zlonamjerni x64 izvršni fajl, vjerovatno instaler programa, koristi za propagiranje Deadglypha. 
  • Zlonamjerna izvršna datoteka, zauzvrat, preuzima komponentu zasnovanu na .NET-u pod nazivom Orchestrator, koja komunicira sa C2 serverom za daljnje zlonamjerne komande. 
  • Ovo omogućava malware-u da se uključi u niz manevara izbjegavanja kako bi ostao ispod radara. 
  • Ako backdoor ne uspije uspostaviti komunikaciju sa C2 serverom nakon određenog perioda, on pokreće mehanizam samouklanjanja kako bi spriječio njegovu analizu.

Mogućnosti

  • Deadglyph je modularne prirode, što znači da omogućava hakerima da kreiraju ili modifikuju module prilagođene njihovim potrebama.
  • ESET vjeruje da backdoor uključuje devet do četrnaest različitih modula, međutim, mogao bi dobiti samo tri: kreator procesa, sakupljač informacija i čitač datoteka.
  • Osim toga, malware se može pohvaliti nizom mehanizama protiv izbjegavanja, uključujući kontinuirano praćenje sistemskih procesa i implementaciju nasumičnih mrežnih obrazaca.

Previše malware backdoor-a u posljednje vrijeme

  • Nedavno je kineskoj hakerskoj grupi Earth Lusca pripisan novi Linux backdoor, SprySOCKS, koji je ciljao više vladinih organizacija u nekoliko zemalja. 
  • U drugom incidentu, haker je koristio dva nova backdoor -a — HTTPSnoop i PipeSnoop — u kampanji sajber špijunaže usmjerenoj na telekomunikacijske organizacije sa Bliskog istoka. Ovi backdoor-i su maskirani kao popularni softverski proizvodi i koristili su opsežne mehanizme protiv otkrivanja kako bi ostali ispod radara. 
  • Nadalje, pronađena je nova Sandman APT grupa koja koristi modularni backdoor pod nazivom LuaDream za ciljanje provajdera telekomunikacijskih usluga u Evropi i Aziji. Malware koristi LuaJIT platformu za širenje na sistemima ciljanih organizacija.

Zaključak

Istraživači tek treba da otkriju čitav niz mogućnosti Deadglyph malvera dok se istraga nastavlja. U međuvremenu, organizacijama se savjetuje da iskoriste IOC povezane sa zlonamjernim softverom kako bi zaštitile krajnje tačke ili mreže osjetljive na napade.

Izvor: Cyware Alerts – Hacker News

Recent Articles

spot_img

Related Stories