Investigadores de ciberseguridad han descubierto una puerta trasera avanzada no documentada previamente denominada glifo muerto empleado por un actor de amenazas conocido como Stealth Falcon como parte de una campaña de ciberespionaje.
«La arquitectura de Deadglyph es inusual ya que consta de componentes que cooperan: uno es un binario x64 nativo y el otro un ensamblado .NET», ESET dicho en un nuevo reporte compartido con The Hacker News.
«Esta combinación es inusual porque el malware normalmente utiliza sólo un lenguaje de programación para sus componentes. Esta diferencia podría indicar un desarrollo separado de esos dos componentes y al mismo tiempo aprovechar características únicas de los distintos lenguajes de programación que utilizan».
También se sospecha que el uso de diferentes lenguajes de programación es una táctica deliberada para dificultar el análisis, lo que hace que sea mucho más difícil navegar y depurar.
A diferencia de otras puertas traseras tradicionales de este tipo, los comandos se reciben de un servidor controlado por un actor en forma de módulos adicionales que le permiten crear nuevos procesos, leer archivos y recopilar información de los sistemas comprometidos.
Stealth Falcon (también conocido como FruityArmor) fue primero expuesto por Citizen Lab en 2016, vinculándolo con una serie de ataques de software espía dirigidos en el Medio Oriente dirigidos a periodistas, activistas y disidentes en los Emiratos Árabes Unidos utilizando señuelos de phishing que incorporan enlaces con trampas explosivas que apuntan a documentos macro para ofrecer un Implante personalizado capaz de ejecutar comandos arbitrarios.
Una investigación posterior realizada por Reuters en 2019 reveló una operación clandestina llamada Proyecto Raven que involucraba a un grupo de ex agentes de inteligencia estadounidenses que fueron reclutados por una empresa de ciberseguridad llamada DarkMatter para espiar objetivos críticos con la monarquía árabe.
Se cree que Stealth Falcon y Project Raven son el mismo grupo debido a las superposiciones en tácticas y objetivos.
Desde entonces, el grupo ha sido vinculado a la explotación de día cero de fallas de Windows como CVE-2018-8611 y CVE-2019-0797, con Mandiant. observando en abril de 2020 que el actor de espionaje «utilizó más días cero que cualquier otro grupo» de 2016 a 2019.
En 2019, ESET detalló el uso por parte del adversario de una puerta trasera llamada Win32/StealthFalcon que utilizaba el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para comunicaciones de comando y control (C2) y para obtener el control completo de un punto final.
Deadglyph es la última incorporación al arsenal de Stealth Falcon, según la firma eslovaca de ciberseguridad, que analizó una intrusión en una entidad gubernamental no identificada en Medio Oriente.
Actualmente se desconoce el método exacto utilizado para colocar el implante, pero el componente inicial que activa su ejecución es un cargador de código shell que extrae y carga el código shell del Registro de Windows, que posteriormente lanza el módulo x64 nativo de Deadglyph, conocido como Ejecutor.
Luego, el Ejecutor procede a cargar un componente .NET conocido como Orquestador que, a su vez, se comunica con el servidor de comando y control (C2) para esperar más instrucciones. El malware también realiza una serie de maniobras evasivas para pasar desapercibido, contando con la capacidad de desinstalarse.
Los comandos recibidos del servidor se ponen en cola para su ejecución y pueden clasificarse en una de tres categorías: tareas del orquestador, tareas del ejecutor y tareas de carga.
«Las tareas del ejecutor ofrecen la capacidad de administrar la puerta trasera y ejecutar módulos adicionales», dijo ESET. «Las tareas del orquestador ofrecen la posibilidad de gestionar la configuración de los módulos de Red y Temporizador, y también cancelar tareas pendientes».
IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados por la IA
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Algunas de las tareas identificadas del Ejecutor comprenden la creación de procesos, el acceso a archivos y la recopilación de metadatos del sistema. El módulo Temporizador se utiliza para sondear periódicamente el servidor C2 en combinación con el módulo de Red, que implementa las comunicaciones C2 mediante solicitudes HTTPS POST.
Cargar tareas, como su nombre lo indica, permite que la puerta trasera cargue la salida de comandos y errores.
ESET dijo que también identificó un panel de control (CPL) que se subió a VirusTotal desde Qatar, que se dice que funcionó como punto de partida para una cadena de varias etapas que allana el camino para un descargador de shellcode que comparte algunas semejanzas de código con Deadglyph.
Si bien la naturaleza del código shell recuperado del servidor C2 aún no está clara, se ha teorizado que el contenido podría servir como instalador del malware Deadglyph.
Deadglifo recibe su nombre de los artefactos encontrados en la puerta trasera (ID hexadecimales 0xDEADB001 y 0xDEADB101 para el módulo Temporizador y su configuración), junto con la presencia de un ataque de homoglifos que se hace pasar por Microsoft («Ϻicrоsоft Corpоratiоn») en el cargador de shellcode del Registro. recurso VERSIONINFO.
«Deadglyph cuenta con una variedad de mecanismos de contradetección, incluido el monitoreo continuo de los procesos del sistema y la implementación de patrones de red aleatorios», dijo la compañía. «Además, la puerta trasera es capaz de desinstalarse sola para minimizar la probabilidad de ser detectada en ciertos casos».