编译:代码卫士

ESET 发布报告称,APT 组织 Stealth Falcon 在中东某政府实体的系统上部署了新后门,并将该后门命名为 “Deadglyph”。

该后门由原生的x64二进制和一个 .NET 汇编组成,前者用作执行器,后者用作协调器。该恶意软件以DLL的形式部署在该系统,滥用 WMI 事件订阅实现持久性。一旦执行,DLL就会加载、解密并执行存储在 Windows 注册表中的加密 shellcode,从而解密和运行 Deadglyph 的执行器组件。该组件用于加载配置并初始化 .NET 运行时以及加载嵌入式 .NET 代码(即协调器)。

Deadglyph 的 .NET 组件设立命令和控制通信并执行命令。它使用计时和网络模块定期以及随机与C&C 服务器进行通信,以阻止可检测到的模式。该C&C 服务器以任务的形式向该后门的组件发送命令。该协调器可用于修改网络和计时模块的配置,而执行器任务用于管理该后门并运行额外模块。

ESET 认为该执行器可捕获最多14个不同的用作后门命令的模块,而这些模块用作具有一个未命名导出的DLL。执行时,这些模块被提供可解析 Windows API 和自定义 Executor API 的API 解析函数。ESET 识别到与 Executor API 的39种函数,包括文件操作、加密和哈希、压缩、PE 加载、工具和访问令牌模拟。

其中一个模块负责收集关于操作系统、网络适配器、已安装应用、驱动、服务器、进程、用户、安全软件和环境变量的信息。ESET 在调查 Deadglyph 的过程中发现了以过期证书签名的 CPL 文件被上传到 VirusTotal 中,作为多阶段 shellcode 下载器,且与 Stealth Falcon 的后门代码之间存在相似之处。

Stealth Falcon 至少活跃于2012年,且被指与阿联酋相关,主要攻击记者、活动家以及异见人士。从类似的攻击目标和攻击活动入手,Amnesty International 在2019年认为该恶意软件就是 Project Raven,即之前被认为是 NSA 作战团队的组成部分。

原文链接

https://www.securityweek.com/uae-linked-apt-targets-middle-east-government-with-new-deadglyph-backdoor/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。