Des chercheurs en cybersécurité ont découvert une porte dérobée avancée jusqu’alors non documentée, baptisée Glyphe mort employé par un acteur menaçant connu sous le nom de Stealth Falcon dans le cadre d’une campagne de cyberespionnage.
« L’architecture de Deadglyph est inhabituelle car elle est constituée de composants coopérants : l’un est un binaire x64 natif, l’autre un assemblage .NET », ESET dit dans un nouveau rapport partagé avec The Hacker News.
« Cette combinaison est inhabituelle car les logiciels malveillants n’utilisent généralement qu’un seul langage de programmation pour leurs composants. Cette différence pourrait indiquer un développement séparé de ces deux composants tout en tirant également parti des fonctionnalités uniques des langages de programmation distincts qu’ils utilisent. »
On soupçonne également que l’utilisation de différents langages de programmation est une tactique délibérée visant à entraver l’analyse, ce qui rend la navigation et le débogage beaucoup plus difficiles.
Contrairement aux autres portes dérobées traditionnelles de ce type, les commandes sont reçues d’un serveur contrôlé par un acteur sous la forme de modules supplémentaires qui lui permettent de créer de nouveaux processus, de lire des fichiers et de collecter des informations sur les systèmes compromis.
Stealth Falcon (alias FruityArmor) était exposé pour la première fois par le Citizen Lab en 2016, le liant à une série d’attaques ciblées de logiciels espions au Moyen-Orient visant des journalistes, des militants et des dissidents aux Émirats arabes unis à l’aide de leurres de spear phishing intégrant des liens piégés pointant vers des documents macro pour fournir un implant personnalisé capable d’exécuter des commandes arbitraires.
Une enquête ultérieure entreprise par Reuters en 2019 a révélé une opération clandestine appelée Projet Raven qui impliquait un groupe d’anciens agents du renseignement américain recrutés par une société de cybersécurité nommée DarkMatter pour espionner des cibles critiques à l’égard de la monarchie arabe.
On pense que Stealth Falcon et Project Raven sont le même groupe en raison des chevauchements de tactiques et de ciblage.
Le groupe a depuis été lié à l’exploitation zero-day de failles Windows telles que CVE-2018-8611 et CVE-2019-0797, avec Mandiant. notant en avril 2020 que l’acteur d’espionnage « a utilisé plus de zero-days que tout autre groupe » de 2016 à 2019.
En 2019, ESET a détaillé l’utilisation par l’adversaire d’une porte dérobée nommée Win32/StealthFalcon qui s’est avérée utiliser le service de transfert intelligent en arrière-plan (BITS) de Windows pour les communications de commande et de contrôle (C2) et pour obtenir le contrôle complet d’un point final.
Deadglyph est le dernier ajout à l’arsenal de Stealth Falcon, selon la société de cybersécurité slovaque, qui a analysé une intrusion dans une entité gouvernementale anonyme au Moyen-Orient.
La méthode exacte utilisée pour délivrer l’implant est actuellement inconnue, mais le composant initial qui active son exécution est un chargeur de shellcode qui extrait et charge le shellcode du registre Windows, qui lance ensuite le module x64 natif de Deadglyph, appelé Executor.
L’exécuteur procède ensuite au chargement d’un composant .NET appelé Orchestrator qui, à son tour, communique avec le serveur de commande et de contrôle (C2) pour attendre des instructions supplémentaires. Le malware se livre également à une série de manœuvres d’évitement pour passer inaperçues, y compris la possibilité de se désinstaller.
Les commandes reçues du serveur sont mises en file d’attente pour exécution et peuvent appartenir à l’une des trois catégories suivantes : tâches d’orchestrateur, tâches d’exécuteur et tâches de téléchargement.
« Les tâches d’exécution offrent la possibilité de gérer la porte dérobée et d’exécuter des modules supplémentaires », a déclaré ESET. « Les tâches Orchestrator offrent la possibilité de gérer la configuration des modules Réseau et Timer, et également d’annuler les tâches en attente. »
IA contre IA : exploiter les défenses de l’IA contre les risques liés à l’IA
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Certaines des tâches identifiées de l’exécuteur comprennent la création de processus, l’accès aux fichiers et la collecte de métadonnées système. Le module Timer est utilisé pour interroger périodiquement le serveur C2 en combinaison avec le module Réseau, qui implémente les communications C2 à l’aide de requêtes HTTPS POST.
Les tâches de téléchargement, comme leur nom l’indique, permettent à la porte dérobée de télécharger le résultat des commandes et des erreurs.
ESET a déclaré avoir également identifié un panneau de contrôle (CPL) qui a été téléchargé sur VirusTotal depuis le Qatar, qui aurait servi de point de départ à une chaîne à plusieurs étapes ouvrant la voie à un téléchargeur de shellcode partageant certaines ressemblances de code avec Deadglyph.
Bien que la nature du shellcode récupéré du serveur C2 reste floue, il a été émis l’hypothèse que le contenu pourrait potentiellement servir d’installateur pour le malware Deadglyph.
Deadglyph tire son nom des artefacts trouvés dans la porte dérobée (ID hexadécimaux 0xDEADB001 et 0xDEADB101 pour le module Timer et sa configuration), couplés à la présence d’une attaque d’homoglyphe se faisant passer pour Microsoft (« Ϻicrоsоft Corpоratiоn ») dans le chargeur de shellcode du registre. Ressource VERSIONINFO.
« Deadglyph dispose d’une gamme de mécanismes de contre-détection, notamment une surveillance continue des processus du système et la mise en œuvre de modèles de réseau aléatoires », a indiqué la société. « De plus, la porte dérobée est capable de se désinstaller d’elle-même pour minimiser la probabilité de sa détection dans certains cas. »