Los investigadores de ciberseguridad han descubierto una puerta trasera avanzada previamente indocumentada llamada Deadglyph empleada por un actor de amenazas conocido como Stealth Falcon como parte de una campaña de espionaje cibernético.
«La arquitectura de Deadglyph es inusual, ya que consiste en componentes cooperantes, uno un binario x64 nativo, el otro un ensamblaje .NET», dijo ESET en un nuevo informe compartido con The Hacker News.
«Esta combinación es inusual porque el malware generalmente usa solo un lenguaje de programación para sus componentes. Esta diferencia podría indicar un desarrollo separado de esos dos componentes al tiempo que aprovecha las características únicas de los distintos lenguajes de programación que utilizan».
También se sospecha que el uso de diferentes lenguajes de programación es una táctica deliberada para dificultar el análisis, lo que hace que sea mucho más difícil navegar y depurar.
A diferencia de otras puertas traseras tradicionales de su tipo, los comandos se reciben de un servidor controlado por actores en forma de módulos adicionales que le permiten crear nuevos procesos, leer archivos y recopilar información de los sistemas comprometidos.
Stealth Falcon (también conocido como FruityArmor) fue expuesto por primera vez por el Citizen Lab en 2016, vinculándolo a un conjunto de ataques de spyware dirigidos en el Medio Oriente dirigidos a periodistas, activistas y disidentes en los Emiratos Árabes Unidos utilizando señuelos de spear-phishing que incrustan enlaces con trampas explosivas que apuntan a documentos macro-atados para entregar un implante personalizado capaz de ejecutar comandos arbitrarios.
Una investigación posterior realizada por Reuters en 2019 reveló una operación clandestina llamada Proyecto Raven que involucró a un grupo de ex agentes de inteligencia estadounidenses que fueron reclutados por una firma de ciberseguridad llamada DarkMatter para espiar objetivos críticos de la monarquía árabe.
Se cree que Stealth Falcon y Project Raven son el mismo grupo basado en las superposiciones en tácticas y objetivos.
Desde entonces, el grupo se ha relacionado con la explotación de día cero de fallas de Windows como CVE-2018-8611 y CVE-2019-0797, y Mandiant señaló en abril de 2020 que el actor de espionaje «usó más días cero que cualquier otro grupo» de 2016 a 2019.
Casi al mismo tiempo, ESET detalló el uso por parte del adversario de una puerta trasera llamada Win32 / StealthFalcon que se descubrió que usaba el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para las comunicaciones de comando y control (C2) y para obtener el control completo de un punto final.
Deadglyph es la última incorporación al arsenal de Stealth Falcon, según la firma eslovaca de ciberseguridad, que analizó una intrusión en una entidad gubernamental no identificada en el Medio Oriente.
El método exacto utilizado para administrar el implante es actualmente desconocido, pero el componente inicial que activa su ejecución es un cargador de shellcode que extrae y carga shellcode del Registro de Windows, que posteriormente inicia el módulo x64 nativo de Deadglyph, conocido como Executor.
A continuación, el ejecutor continúa cargando un componente .NET conocido como Orchestrator que, a su vez, se comunica con el servidor de comando y control (C2) para esperar más instrucciones. El malware también se involucra en una serie de maniobras evasivas para volar bajo el radar, contando la capacidad de desinstalarse.
Los comandos recibidos del servidor se ponen en cola para su ejecución y pueden clasificarse en una de tres categorías: tareas de Orchestrator, tareas de ejecutor y tareas de carga.
«Las tareas de Ejecutor ofrecen la capacidad de administrar la puerta trasera y ejecutar módulos adicionales», dijo ESET. «Las tareas de Orchestrator ofrecen la capacidad de administrar la configuración de los módulos Red y Timer, y también de cancelar tareas pendientes».
Algunas de las tareas de Executor identificadas comprenden la creación de procesos, el acceso a archivos y la recopilación de metadatos del sistema. El módulo Timer se utiliza para sondear el servidor C2 periódicamente en combinación con el módulo Network, que implementa las comunicaciones C2 mediante solicitudes HTTPS POST.
Las tareas de carga, como su nombre lo indica, permiten que la puerta trasera cargue la salida de comandos y errores.
ESET dijo que también identificó un archivo de panel de control (CPL) que se cargó en VirusTotal desde Qatar, que se dice que funcionó como punto de partida para una cadena de múltiples etapas que allana el camino para un descargador de shellcode que comparte algunas semejanzas de código con Deadglyph.
Si bien la naturaleza del shellcode recuperado del servidor C2 sigue sin estar clara, se ha teorizado que el contenido podría servir como instalador para el malware Deadglyph.
Deadglyph recibe su nombre de los artefactos encontrados en la puerta trasera (identificadores hexadecimales 0xDEADB001 y 0xDEADB101 para el módulo Timer y su configuración), junto con la presencia de un ataque homoglifo que se hace pasar por Microsoft («Ϻicrоsоft Corpоratiоn») en el recurso VERSIONINFO del cargador de shellcode del Registro.
«Deadglyph cuenta con una gama de mecanismos de contradetección, incluido el monitoreo continuo de los procesos del sistema y la implementación de patrones de red aleatorios», dijo la compañía. «Además, la puerta trasera es capaz de desinstalarse para minimizar la probabilidad de su detección en ciertos casos».
Fuente y redacción: underc0de.org
