Deadglyph: باب خلفي متطور جديد مع تكتيكات خبيثة مميزة. اكتشف الباحثون الأمنيون بابًا خلفيًا متطورًا جديدًا يُدعى Deadglyph يستخدمه ممثل تهديد يُعرف باسم Stealth Falcon كجزء من حملة تجسس إلكتروني.
تتميز بنية Deadglyph بأنها غير عادية لأنها تتكون من مكونات متعاونة – أحدهما ملف ثنائي x64 أصلي والآخر مجموعة .NET. هذه المجموعة غير عادية لأن البرامج الخبيثة تستخدم عادةً لغة برمجة واحدة فقط لمكوناتها. قد يشير هذا الاختلاف إلى التطوير المنفصل لهاتين المكونتين مع الاستفادة أيضًا من الميزات الفريدة للغات البرمجة المميزة التي يستخدمانها.
هناك شك في استخدام لغات برمجة مختلفة.
وهو تكتيك متعمد لإعاقة التحليل ، مما يجعل التنقل والتصحيح أكثر صعوبة.
على عكس الأبواب الخلفية التقليدية الأخرى من نوعها ، يتم تلقي الأوامر من خادم يتم التحكم فيه من قبل الممثل على شكل وحدات إضافية تسمح لها بإنشاء عمليات جديدة وقراءة الملفات وجمع المعلومات من الأنظمة المخترقة.
تم الكشف عن Stealth Falcon (المعروف أيضًا باسم FruityArmor). لأول مرة من قبل Citizen Lab في عام 2016 ، حيث ربطها بمجموعة من هجمات التجسس الإلكتروني المستهدفة في الشرق الأوسط والتي استهدفت الصحفيين والناشطين والمعارضين في الإمارات العربية المتحدة باستخدام عمليات تصيد الرمح التي تضمن روابط مفخخة تشير إلى مستندات تحتوي على وحدات ماكرو لتوصيل زرع مخصص قادر على تنفيذ أوامر تعسفية.
كشف تحقيق لاحق أجرته رويترز في عام 2019 عن عملية سرية تسمى Project Raven شاركت فيها مجموعة من عملاء المخابرات الأمريكية السابقين الذين تم تجنيدهم من قبل شركة للأمن السيبراني تسمى DarkMatter للتجسس على الأهداف التي تنتقد النظام الملكي العربي.
يعتقد أن Stealth Falcon و Project Raven هما نفس المجموعة بناءً على التداخل في التكتيكات والاستهداف.
تم ربط المجموعة منذ ذلك الحين باستغلال الثغرات الأمنية في Windows مثل CVE-2018-8611 و CVE-2019-0797 بدون إشعار لمدة يوم واحد ، مع ملاحظة Mandiant في أبريل 2020 أن ممثل التجسس “استخدم ثغرات بدون إشعار لمدة يوم واحد أكثر من أي مجموعة أخرى” من 2016 إلى 2019.
في نفس الوقت تقريبًا ، كشفت ESET عن استخدام المهاجم لباب خلفي يسمى Win32 / StealthFalcon والذي تم العثور على أنه يستخدم خدمة النقل الذكي في الخلفية في Windows (BITS) للاتصالات القيادية والتحكم (C2) وللحصول على التحكم الكامل في نقطة النهاية.
ماهو Deadglyph.
هو أحدث إضافة إلى ترسانة Stealth Falcon ، وفقًا لشركة الأمن السيبراني السلوفاكية ، والتي حللت اختراقًا في كيان حكومي لم يتم تسميته في الشرق الأوسط.
لا تزال الطريقة الدقيقة المستخدمة لتوصيل الزرع غير معروفة حاليًا ، ولكن المكون الأولي الذي ينشط تنفيذه هو محمل شللي يقوم باستخراج وتحميل شللي من سجل Windows ، والذي يقوم بعد ذلك بتشغيل وحدة x64 الأصلية الخاصة بـ Deadglyph ، والتي يشار إليها باسم Executor.
ثم ينتقل Executor إلى تحميل مكون .NET يُعرف باسم Orchestrator يتواصل بدوره مع خادم القيادة والتحكم (C2) لانتظار مزيد من التعليمات. تقوم البرامج الخبيثة أيضًا بالتورط في سلسلة من المناورات التهربية للطيران تحت الرادار. بما في ذلك القدرة على إلغاء تثبيت نفسها.
يتم وضع الأوامر المستقبلة من الخادم في قائمة انتظار للتنفيذ ويمكن أن تندرج في واحدة من ثلاث فئات: مهام Orchestrator ، ومهام Executor ، ومهام Upload.
وقالت ESET: “توفر مهام Executor القدرة على إدارة الباب الخلفي وتنفيذ وحدات إضافية”. “توفر مهام Orchestrator القدرة على إدارة تكوين وحدة الشبكة ووحدة المؤقت. وكذلك إلغاء المهام المعلقة.”
تتضمن بعض مهام Executor المكتشفة إنشاء العمليات وقراءة الملفات وجمع بيانات نظام التشغيل. يتم استخدام وحدة Timer لمسح خادم C2 بشكل دوري بالاشتراك مع وحدة الشبكة. والتي تنفذ اتصالات C2 باستخدام طلبات POST HTTPS.
تسمح مهام التحميل. كما يوحي الاسم. للباب الخلفي بتحميل مخرجات الأوامر والأخطاء.
قالت ESET إنها حددت أيضًا ملف لوحة تحكم (CPL) تم تحميله إلى VirusTotal من قطر. والذي يقال إنه يعمل كنقطة انطلاق لسلسلة متعددة المراحل تمهد الطريق لمحمل شللي يشترك في بعض أوجه التشابه في الكود مع Deadglyph.
بينما. لا يزال من غير الواضح طبيعة الشللي المسترجع من خادم C2. فقد تم التكهن بأن المحتوى يمكن أن يعمل كبرنامج تثبيت للبرامج الضارة Deadglyph.
تحصل Deadglyph على اسمها من القطع الأثرية الموجودة في الباب الخلفي (معرفات سداسية عشرية 0xDEADB001 و 0xDEADB101 لوحدة المؤقت وتكوينها). إلى جانب وجود هجوم مجسم ينتحل شخصية Microsoft (“Ϻicrοsοft Corpоratiоn”) في مورد VERSIONINFO لمحمل الشللي في السجل.
كما قالت الشركة: “تفتخر Deadglyph بمجموعة من آليات مكافحة الكشف. بما في ذلك المراقبة المستمرة لعمليات النظام وتنفيذ أنماط شبكة عشوائية”. “علاوة على ذلك ، الباب الخلفي قادر على إلغاء تثبيت نفسه لتقليل احتمالية اكتشافه في بعض الحالات.”
توصيات:
- يجب على المؤسسات اتخاذ خطوات لتعزيز دفاعاتها ضد الهجمات الإلكترونية ، بما في ذلك تحديث البرامج باستمرار وتطبيق أحدث الإصلاحات الأمنية.
- يجب على المؤسسات أيضًا تدريب الموظفين على كيفية التعرف على هجمات التصيد الاحتيالي وكيفية حماية بياناتهم.
- يجب على المؤسسات استخدام حلول أمان قوية لمراقبة نشاط الشبكة واكتشاف ومنع الهجمات الإلكترونية.
خاتمة:
في النهاية يعد Deadglyph بابًا خلفيًا متطورًا يمثل تهديدًا خطيرًا للمؤسسات. من المهم أن تكون المؤسسات على دراية بهذا التهديد وأن تتخذ خطوات للحماية من الهجمات التي تستخدمه.
Deadglyph: باب خلفي متطور جديد مع تكتيكات خبيثة مميزة. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.