ESET-onderzoekers hebben een geavanceerde backdoor ontdekt en geanalyseerd, Deadglyph genoemd, gebruikt door de Stealth Falcon-groep. Volgens MITRE, de Amerikaanse non-profit veiligheidsorganisatie, is de groep gelinkt aan de Verenigde Arabische Emiraten. Deadglyph heeft een ongebruikelijke architectuur en de backdoor-mogelijkheden worden door C&C in de vorm van extra modules geleverd.
· ESET Research ontdekte Deadglyph, een geavanceerde backdoor, met een ongebruikelijke architectuur.
· ESET schrijft de malware toe aan de Stealth Falcon-groep, die volgens MITRE gelinkt is aan de Verenigde Arabische Emiraten (VAE).
· Het slachtoffer is een overheidsinstantie in het Midden-Oosten, gecompromitteerd voor spionagedoeleinden. Een gerelateerd voorbeeld gevonden op VirusTotal, werd vanuit Qatar, geüpload naar het bestandsscanplatform.
· Traditionele backdoor-opdrachten worden geïmplementeerd via aanvullende modules die van de Command and Control (C&C)-server worden ontvangen.
· ESET verkreeg drie van de vele modules: procesmaker, bestandslezer en informatieverzamelaar.
BRATISLAVA — 25 september 2023 — ESET-onderzoekers hebben een geavanceerde backdoor ontdekt en geanalyseerd, Deadglyph genoemd, gebruikt door de Stealth Falcon-groep. Volgens MITRE, de Amerikaanse non-profit veiligheidsorganisatie, is de groep gelinkt aan de Verenigde Arabische Emiraten. Deadglyph heeft een ongebruikelijke architectuur en de backdoor-mogelijkheden worden door C&C in de vorm van extra modules geleverd. Deadglyph beschikt over een reeks mechanismen voor tegendetectie en, in bepaalde gevallen, kan zich verwijderen om de kans op detectie te beperken. ESET deed de ontdekking tijdens een routine monitoring van verdachte activiteiten op de systemen van vooraanstaande klanten, waarvan sommige gevestigd zijn in het Midden-Oosten. Het slachtoffer van de geanalyseerde infiltratie is een overheidsinstantie in het Midden-Oosten die gecompromitteerd werd voor spionagedoeleinden. Een gerelateerd voorbeeld, gevonden op VirusTotal, werd vanuit Qatar geüpload.
Deze nog niet gedocumenteerde backdoor beschikt over een opmerkelijke dosis verfijning en expertise. De traditionele backdoor-opdrachten zijn niet geïmplementeerd in het binaire backdoor-bestand; ze worden dynamisch van de C&C-server ontvangen als aanvullende modules. Deze backdoor beschikt ook over een aantal mogelijkheden om detectie te voorkomen, zoals continue monitoring van systeemprocessen en de implementatie van willekeurige netwerkpatronen.
ESET Research slaagde erin drie van deze modules te verkrijgen, zodat een fractie van al de mogelijkheden van Deadglyph blootgelegd werd: procesmaker, bestandslezer en informatiecollector. De infocollectormodule verzamelt uitgebreide informatie over de computer, inclusief details over het besturingssysteem, geïnstalleerde software en stuurprogramma’s, processen, services, gebruikers en beveiligingssoftware. Bovendien kan de module voor het lezen van bestanden ook specifieke bestanden lezen; in één geval werd de module gebruikt om het Outlook-gegevensbestand van het slachtoffer op te halen.
ESET Research heeft bovendien een gerelateerde shellcode-downloader gevonden die ook kan gebruikt worden om Deadglyph te installeren.
ESET schrijft Deadglyph met groot vertrouwen toe aan de Stealth Falcon APT-groep, op basis van de targeting en aanvullend bewijsmateriaal. Deze dreigingsgroep, ook gekend als Project Raven of FruityArmor, is volgens MITRE gelinkt aan de Verenigde Arabische Emiraten. Het is bekend dat Stealth Falcon, actief sinds 2012, zich richt op politieke activisten, journalisten en dissidenten in het Midden-Oosten. Het werd ontdekt en eerst beschreven door Citizen Lab, dat in 2016 een analyse van een campagne van spyware-aanvallen publiceerde.
Voor meer technische informatie over Stealth Falcon en Deadglyph, lees de blogpost “Stealth Falcon preying over Middle Eastern skies with Deadglyph” op WeLiveSecurity. Zorg ervoor dat u ESET Research volgt op Twitter (nu bekend als X) voor het laatste nieuws over ESET Research.
