ステルスソルジャーマルウェア

\

サイバーセキュリティ コミュニティは最近、ステルス ソルジャーと呼ばれる新たに特定されたカスタム バックドアを発見しました。このバックドアは、北アフリカでの一連の高度で特にターゲットを絞ったスパイ活動に利用されてきました。

Stealth Soldier は、侵害されたシステムから機密情報を収集することを目的とした、さまざまな監視機能を示す文書化されていないバックドア マルウェアです。感染したデバイスからのファイルの抽出、画面やマイク上のアクティビティの記録、キーストロークの記録、閲覧関連データの窃取など、さまざまな監視機能を実行します。

この攻撃作戦の注目すべき点の 1 つは、リビア外務省に関連する Web サイトを模倣したコマンドアンドコントロール (C&C) サーバーの使用です。攻撃者は、これらの正規のサイトを模倣することで、悪意のある活動の実行を支援する欺瞞的な環境を作成します。このステルス ソルジャー キャンペーンの最初の痕跡は 2022 年 10 月まで遡ることができ、攻撃者がかなりの期間にわたって活発に活動していたことを示しています。

ステルス ソルジャー マルウェア オペレーターはソーシャル エンジニアリング戦術を使用

この攻撃キャンペーンは、潜在的なターゲットが騙されてソーシャル エンジニアリング戦術を通じて悪意のあるダウンローダー バイナリをダウンロードすることから始まります。これらの欺瞞的なバイナリは、Stealth Soldier マルウェアを配信する手段として機能すると同時に、一見無害なおとり PDF ファイルを表示して被害者の注意をそらします。

Stealth Soldier マルウェアの展開が成功すると、そのカスタム モジュラー インプラントがアクティブになります。このインプラントは、検出を避けるために控えめに使用されていると考えられており、マルウェアにさまざまな監視機能を備えています。ディレクトリのリストとブラウザーの資格情報を収集し、キーストロークを記録し、デバイスのマイクから音声を録音し、スクリーンショットをキャプチャし、ファイルをアップロードし、PowerShell コマンドを実行します。

マルウェアはさまざまな種類のコマンドを使用します。一部のコマンドはコマンド アンド コントロール (C&C) サーバーからダウンロードされるプラグインですが、その他のコマンドはマルウェア自体に埋め込まれたモジュールです。このモジュール式のアプローチにより、マルウェアの機能に柔軟性と適応性が与えられます。また、Stealth Soldier の 3 つの異なるバージョンが発見されたことからもわかるように、オペレーターが積極的にマルウェアの保守と更新を行っていることも示されています。

Stealth Soldier のコンポーネントの一部はアクセスできなくなりましたが、分析の結果、画面キャプチャやブラウザ認証情報の盗難などの特定の機能は、GitHub で利用可能なオープンソース プロジェクトからインスピレーションを得たものであることが判明しました。これは、Stealth Soldier の背後にいる攻撃者が既存のツールからインスピレーションを得て、その機能と有効性を強化するためにカスタム マルウェアに組み込んだことを示唆しています。

以前に記録されたマルウェア操作との類似点

さらに、ステルス ソルジャーが利用したインフラストラクチャは、「ナイルの目」として知られる以前のフィッシング キャンペーンに関連したインフラストラクチャと類似点を共有していることが判明しました。 2019年にエジプトのジャーナリストと人権活動家をターゲットにした「ナイルの目」キャンペーン。

この展開は、両方のキャンペーンに関与した脅威アクターが復活する可能性があることを示しています。これは、このグループがエジプトとリビアの個人を対象とした監視活動の実施に特に焦点を当てていることを示唆している。

マルウェアのモジュール性と複数の感染段階の利用を考慮すると、攻撃者は今後も戦術や手法を適応させ続ける可能性が高くなります。この適応性は、脅威アクターが近い将来、マルウェアの更新バージョンをリリースし、監視目的をさらに進めるために新しい機能や回避策を導入する可能性があることを示唆しています。