デッドグリフ バックドア

サイバーセキュリティ アナリストは最近、これまで文書化されていなかった「Deadglyph」として知られる高度なバックドアを発見しました。この洗練されたマルウェアは、「Stealth Falcon」という名前の攻撃者によってサイバースパイ活動の一環として使用されました。

Deadglyph を際立たせているのは、2 つの連携コンポーネントで構成される型破りなアーキテクチャです。 1 つはネイティブ x64 バイナリで、もう 1 つは .NET アセンブリです。ほとんどのマルウェアは通常、そのコンポーネントが単一のプログラミング言語に依存しているため、この標準からの逸脱は注目に値します。この二重言語アプローチの採用は、各プログラミング言語の固有の機能を活用して、これら 2 つのコンポーネントを個別に開発する可能性を示唆しています。

さらに、異なるプログラミング言語の意図的な使用が、分析作業を妨げる戦略的戦術として機能しているのではないかと疑われています。このため、セキュリティ研究者にとって、マルウェアをナビゲートしてデバッグすることは、その検出と軽減にさらに 1 層複雑になるなど、かなり困難になっています。

Deadglyph バックドアが異常な特徴を示す

Deadglyph は、ステルス ファルコンの兵器庫への最新の追加物であり、中東の非公開政府機関で使用されています。従来のバックドアとは異なり、この脅威ツールは、攻撃者が制御するサーバーからコマンドを受け取ります。これらのコマンドは補足モジュールの形式で提供され、Deadglyph に新しいプロセスを開始し、ファイルにアクセスし、侵害されたシステムからデータを収集する機能を与えます。

インプラント埋入の正確な方法は依然として謎のままです。ただし、その実行の最初のトリガーは、Windows レジストリからシェルコードを取得してロードするシェルコード ローダーです。これにより、「Executor」として知られる Deadglyph のネイティブ x64 コンポーネントの実行が開始されます。

デッドグリフ感染は被害者に悲惨な結果をもたらす可能性がある

Executor は、アクティブ化されると、「Orchestrator」と呼ばれる .NET コンポーネントのロードを開始します。オーケストレーターはコマンド アンド コントロール (C2) サーバーとの通信を確立し、さらなる指示を待ちます。このマルウェアは、レーダーに映らないよう一連の回避戦術を採用しており、自己アンインストールする機能も備えています。サーバーから受信したコマンドは実行のためにキューに入れられ、オーケストレーター タスク、エグゼキューター タスク、アップロード タスクの 3 つの異なるカテゴリに分類されます。

Executor タスクは、バックドアの管理と追加モジュールの実行の制御を許可します。一方、オーケストレーター タスクは、ネットワーク モジュールとタイマー モジュールの構成を管理し、保留中のタスクをキャンセルできます。

プロセスの作成、ファイル アクセス、システム メタデータの収集など、いくつかの Executor タスクが特定されています。タイマー モジュールは、ネットワーク モジュールと連携して C2 サーバーに定期的に接続し、HTTPS POST リクエストを介した C2 通信を容易にします。アップロード タスクは、その名前が示すように、バックドアがコマンドの結果や発生したエラーを送信できるようにします。

Deadglyph は、システム プロセスの継続的な監視やランダム化されたネットワーク パターンの実装など、一連の検出防止メカニズムを備えています。さらに、特定のシナリオでは、検出の可能性を減らすために自己アンインストールする機能もあります。

ステルス ファルコン サイバー犯罪グループは 10 年近くにわたって活動を続けている

FruityArmor としても知られる Stealth Falcon は、2016 年に中東における標的型スパイウェア攻撃への関与を研究者らが明らかにしたときに初めて世間の注目を集めました。これらの攻撃は、アラブ首長国連邦（UAE）のジャーナリスト、活動家、反体制派に向けられたものでした。攻撃者はスピアフィッシング戦術を採用し、マクロを含むドキュメントにつながる電子メールに埋め込まれた欺瞞的なリンクで被害者を誘い込みました。これらの文書は、任意のコマンドを実行できるカスタム インプラントの配信メカニズムとして機能しました。

その後の2019年の捜査で、ダークマターと呼ばれるサイバーセキュリティ企業が採用した元米国諜報専門家のグループが関与したプロジェクト・レイヴンと呼ばれる秘密作戦が明らかになった。彼らの任務は、アラブの君主制に批判的な人物を監視することであった。驚くべきことに、共通の戦術と目標からわかるように、ステルス ファルコンとプロジェクト レイブンは同一であるように見えます。

時間の経過とともに、このグループは Windows のゼロデイ脆弱性 (CVE-2018-8611 や CVE-2019-0797 など) の悪用と関連付けられるようになりました。情報セキュリティ研究者らは、2016 年から 2019 年にかけて、このスパイグループが他のどの組織よりも広範囲にゼロデイ脆弱性を利用したことを指摘しています。

これと同じ時期に、敵対者が Win32/StealthFalcon として知られるバックドアを利用していることが観察されました。この脅威は、コマンド アンド コントロール (C2) 通信に Windows バックグラウンド インテリジェント転送サービス (BITS) を悪用し、侵害されたエンドポイントを攻撃者が完全に制御できるようにしました。