Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Deadglyph: Neue fortschrittliche Backdoor mit ausgeprägter Malware-Taktik

Cybersecurity-Forscher haben eine bisher nicht dokumentierte fortschrittliche Backdoor mit dem Namen Deadglyph entdeckt, die von einem als Stealth Falcon bekannten Bedrohungsakteur im Rahmen einer Cyberspionage-Kampagne eingesetzt wird.

Bedrohungen
Lesezeit 3 Min.

„Die Architektur von Deadglyph ist ungewöhnlich, da sie aus zusammenarbeitenden Komponenten besteht – die eine ist eine native x64-Binärdatei, die andere eine .NET-Assembly“, so ESET in einem neuen Bericht. „Diese Kombination ist ungewöhnlich, da Malware normalerweise nur eine Programmiersprache für ihre Komponenten verwendet. Dieser Unterschied könnte auf eine getrennte Entwicklung dieser beiden Komponenten hinweisen, während sie gleichzeitig einzigartige Funktionen der verschiedenen Programmiersprachen nutzen, die sie verwenden.“

Es wird auch vermutet, dass die Verwendung verschiedener Programmiersprachen eine bewusste Taktik ist, um die Analyse zu erschweren und die Navigation und Fehlersuche zu erschweren. Im Gegensatz zu anderen traditionellen Hintertüren dieser Art werden die Befehle von einem von einem Akteur kontrollierten Server in Form von zusätzlichen Modulen empfangen, die es ihm ermöglichen, neue Prozesse zu erstellen, Dateien zu lesen und Informationen von den angegriffenen Systemen zu sammeln.

Stealth Falcon (auch bekannt als FruityArmor) wurde erstmals 2016 vom Citizen Lab aufgedeckt und mit einer Reihe gezielter Spyware-Angriffe im Nahen Osten in Verbindung gebracht, die auf Journalisten, Aktivisten und Dissidenten in den Vereinigten Arabischen Emiraten abzielten. Dabei wurden Spear-Phishing-Köder eingesetzt, die mit Fallen versehene Links enthielten, die auf mit Makros versehene Dokumente verwiesen, um ein benutzerdefiniertes Implantat zu liefern, das in der Lage war, beliebige Befehle auszuführen.

Eine von Reuters im Jahr 2019 durchgeführte Untersuchung deckte eine geheime Operation namens Project Raven auf, an der eine Gruppe ehemaliger US-Geheimdienstmitarbeiter beteiligt war, die von einer Cybersicherheitsfirma namens DarkMatter rekrutiert wurden, um Ziele auszuspionieren, die der arabischen Monarchie kritisch gegenüberstanden.

Es wird angenommen, dass es sich bei Stealth Falcon und Project Raven um dieselbe Gruppe handelt, da es Überschneidungen bei Taktik und Zielsetzung gibt. Die Gruppe wurde seitdem mit der Zero-Day-Ausnutzung von Windows-Schwachstellen wie CVE-2018-8611 und CVE-2019-0797 in Verbindung gebracht, wobei Mandiant im April 2020 feststellte, dass der Spionageakteur von 2016 bis 2019 „mehr Zero-Days als jede andere Gruppe“ nutzte.

Etwa zur gleichen Zeit beschrieb ESET die Verwendung einer Backdoor namens Win32/StealthFalcon durch den Angreifer, die den Windows Background Intelligent Transfer Service (BITS) für die Command-and-Control (C2)-Kommunikation nutzt und die vollständige Kontrolle über einen Endpunkt übernimmt.

Deadglyph ist die neueste Ergänzung im Arsenal von Stealth Falcon, so das slowakische Cybersicherheitsunternehmen, das ein Eindringen in eine ungenannte Regierungseinrichtung im Nahen Osten analysierte. Die genaue Methode zur Einschleusung des Implantats ist derzeit nicht bekannt, aber die erste Komponente, die seine Ausführung aktiviert, ist ein Shellcode-Loader, der Shellcode aus der Windows-Registrierung extrahiert und lädt um damit anschließend das native x64-Modul von Deadglyph, den so genannten Executor, zu starten.

Der Executor lädt dann eine als Orchestrator bezeichnete .NET-Komponente, die wiederum mit dem Command-and-Control-Server (C2) kommuniziert, um weitere Anweisungen zu erhalten. Die Malware führt auch eine Reihe von Ausweichmanövern durch, um unter dem Radar zu fliegen. Dazu zählt auch die Fähigkeit, sich selbst zu deinstallieren. Die vom Server empfangenen Befehle werden zur Ausführung in eine Warteschlange gestellt und können in eine von drei Kategorien fallen: Orchestrator-Aufgaben, Executor-Aufgaben und Upload-Aufgaben.

„Executor-Aufgaben bieten die Möglichkeit, die Backdoor zu verwalten und zusätzliche Module auszuführen“, so ESET. „Orchestrator-Aufgaben bieten die Möglichkeit, die Konfiguration der Netzwerk- und Timer-Module zu verwalten und anstehende Aufgaben abzubrechen.

Einige der identifizierten Executor-Aufgaben umfassen die Erstellung von Prozessen, den Dateizugriff und die Sammlung von System-Metadaten. Das Timer-Modul wird zur regelmäßigen Abfrage des C2-Servers in Kombination mit dem Netzwerk-Modul verwendet, das die C2-Kommunikation über HTTPS-POST-Anfragen realisiert. Upload-Tasks ermöglichen es der Hintertür, die Ausgabe von Befehlen und Fehlern hochzuladen.

ESET hat nach eigenen Angaben auch eine Control Panel (CPL)-Datei identifiziert, die von Katar aus zu VirusTotal hochgeladen wurde und als Ausgangspunkt für eine mehrstufige Kette diente, die den Weg für einen Shellcode-Downloader ebnet, der einige Ähnlichkeiten mit dem Deadglyph-Code aufweist.

Während die Art des vom C2-Server abgerufenen Shellcodes noch unklar ist, wird vermutet, dass der Inhalt möglicherweise als Installationsprogramm für die Deadglyph-Malware dienen könnte. Deadglyph hat seinen Namen von Artefakten, die in der Backdoor gefunden wurden (hexadezimale IDs 0xDEADB001 und 0xDEADB101 für das Timer-Modul und seine Konfiguration), in Verbindung mit dem Vorhandensein eines Homoglyph-Angriffs, der sich in der VERSIONINFO-Ressource des Registry-Shellcode-Laders als Microsoft ausgibt („Ϻicrоsоft Corpоratiоn“). „Deadglyph verfügt über eine Reihe von Gegenerkennungsmechanismen, darunter die kontinuierliche Überwachung von Systemprozessen und die Implementierung von zufälligen Netzwerkmustern“, so das Unternehmen. „Darüber hinaus ist die Backdoor in der Lage, sich selbst zu deinstallieren, um die Wahrscheinlichkeit ihrer Entdeckung in bestimmten Fällen zu minimieren.“

Diesen Beitrag teilen: