Novo malware furtivo e modular Deadglyph usado em ataques do governo
25 de Setembro de 2023

Um novo e sofisticado malware de backdoor chamado 'Deadglyph' foi visto sendo usado em um ataque de ciberespionagem contra uma agência governamental no Oriente Médio.

O malware Deadglyph é atribuído ao Stealth Falcon APT (também conhecido como Project Raven ou FruityArmor), um grupo de hackers patrocinado pelo estado dos Emirados Árabes Unidos (EAU).

O grupo de hackers é conhecido por mirar ativistas, jornalistas e dissidentes há quase uma década.

Em um novo relatório divulgado na conferência LABScon de cibersegurança, o pesquisador da ESET, Filip Jurčacko, compartilha uma análise do novo malware modular e de como ele infecta dispositivos Windows.

A ESET não tem informações sobre o meio de infecção inicial, mas suspeita-se que um executável malicioso, possivelmente um instalador de programa, seja usado.

No entanto, a ESET obteve a maioria dos componentes da cadeia de infecção para pintar um quadro de como o malware opera e tenta evadir a detecção.

A cadeia de carregamento do Deadglyph começa com um carregador de shellcode de registro (DLL) que extrai o código do registro do Windows para carregar o componente Executor (x64), que por sua vez carrega o componente Orchestrator (.NET).

Apenas o componente inicial existe no disco do sistema comprometido como um arquivo DLL, minimizando a probabilidade de detecção.

A ESET diz que o carregador carregará o shellcode do Registro do Windows, que é criptografado para tornar a análise mais desafiadora.

Como o componente DLL é armazenado no sistema de arquivos, é mais provável que seja detectado. Por causa disso, os atores da ameaça utilizaram um ataque homoglifo no recurso VERSIONINFO usando caracteres Unicode gregos e cirílicos distintos para imitar as informações da Microsoft e parecer um arquivo legítimo do Windows.

"Identificamos um ataque homoglifo imitando a Microsoft Corporation no recurso VERSIONINFO deste e de outros componentes PE", explica o relatório da ESET.

"Este método emprega caracteres Unicode distintos que parecem visualmente similares, mas neste caso não idênticos, aos caracteres originais, especificamente o Capital Grego Letra San (U+03FA, Ϻ) e a Letra Pequena Cirílica O (U+043E, о) em Ϻicrоsоft Corpоratiоn.

O componente Executor carrega configurações criptografadas AES para o backdoor, inicializa o tempo de execução .NET no sistema, carrega a parte .NET do backdoor e atua como sua biblioteca.

Por fim, o Orchestrator é responsável pela comunicação do servidor de comando e controle (C2), usando dois módulos para a tarefa, 'Timer' e 'Network.'

Se o backdoor não conseguir estabelecer comunicação com o servidor C2 após um período determinado, ele aciona um mecanismo de autoremocão para evitar sua análise por pesquisadores e especialistas em cibersegurança.

O malware Deadglyph é modular, o que significa que ele baixará novos módulos do C2 que contêm diferentes shellcodes a serem executados pelo componente Executor.

Usar uma abordagem modular permite aos atores da ameaça criar novos módulos conforme necessário para adaptar ataques, que podem então ser enviados às vítimas para realizar funções maliciosas adicionais.

Esses módulos têm à sua disposição APIs do Windows e APIs do Executor personalizadas, com esta última oferecendo 39 funções que possibilitam realizar operações de arquivo, carregar executáveis, acessar Token Impersonation e realizar encriptação e hash.

A ESET acredita que existem de nove a quatorze módulos diferentes, mas só conseguiu obter três: um criador de processos, um coletor de informações e um leitor de arquivos.

O coletor informações usa consultas WMI para alimentar o Orchestrator com as seguintes informações sobre o sistema comprometido:

sistema operacional,adaptadores de rede,software, instalado,unidades,serviços,drivers,processos,usuários,variáveis do ambiente,software de segurança.

O criador de processos é uma ferramenta de execução de comando que executa comandos especificados como um novo processo e fornece o resultado ao Orchestrator.

O módulo leitor de arquivos lê o conteúdo dos arquivos e o passa para o Orchestrator, enquanto também dá aos operadores a opção de excluir o arquivo após a leitura.

Embora a ESET só tenha conseguido descobrir uma fração das capacidades do malware, está claro que o Deadglyph do Stealth Falcon é uma ameaça formidável.

Sem informações detalhadas sobre a infecção inicial, é impossível oferecer estratégias de defesa específicas contra o malware.

Por enquanto, os defensores podem confiar nos IoCs existentes divulgados no relatório.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...