Alcuni ricercatori di cybersecurity hanno scoperto una backdoor avanzata precedentemente non documentata chiamata Deadglyph utilizzata da un pericoloso gruppo di criminali informatici che sono noti col nome Stealth Falcon come parte di una campagna di spionaggio informatico.
Com’è strutturata Deadglyph
“L‘architettura di Deadglyph è insolita in quanto è composta da componenti che cooperano: uno è un binario nativo x64, l’altro è un assembly .NET“, ha detto ESET in un suo recente rapporto, aggiungendo “Questa combinazione è insolita perché di solito il malware utilizza solo un linguaggio di programmazione per le sue componenti. Questa differenza potrebbe indicare uno sviluppo separato di queste due componenti, sfruttando anche le caratteristiche uniche dei linguaggi di programmazione distinti che utilizzano.”
Si sospetta anche che l’uso di diversi linguaggi di programmazione sia una tattica deliberata per ostacolare l’analisi, rendendola molto più difficile da navigare e debuggare.
A differenza di altre backdoor tradizionali di questo tipo, i comandi vengono ricevuti da un server controllato dall’autore dell’hacking sotto forma di moduli aggiuntivi che consentono di creare nuovi processi, leggere file e raccogliere informazioni dai sistemi compromessi.
Stealth Falcon (alias FruityArmor) è un gruppo hacker che si è mostrato al “pubblico” per la prima volta da Citizen Lab nel 2016, collegandolo a una serie di attacchi mirati di spyware in Medio Oriente rivolti a giornalisti, attivisti e dissidenti negli Emirati Arabi Uniti, utilizzando esche di spear-phishing che incorporavano collegamenti con documenti trappola macro per consegnare un impianto personalizzato in grado di eseguire comandi arbitrari.
Un’indagine successiva condotta da Reuters nel 2019 ha rivelato un’operazione clandestina chiamata Project Raven che coinvolgeva un gruppo di ex agenti dei servizi segreti degli Stati Uniti reclutati da una società di cybersecurity chiamata DarkMatter per spiare obiettivi critici della monarchia araba.
Si ritiene che Stealth Falcon e Project Raven siano lo stesso gruppo, sulla base delle sovrapposizioni nelle tattiche e nei bersagli.
Il gruppo è stato successivamente collegato all’exploit zero-day di falle di sicurezza di Windows come CVE-2018-8611 e CVE-2019-0797, con Mandiant che ha reso noto che nell’aprile 2020 che chiunque ci sia stato dietro lo spionaggio informatico in questione “ha utilizzato più zero-day di qualsiasi altro gruppo” dal 2016 al 2019.
Nello stesso periodo, ESET ha descritto l’uso da parte dell’avversario di una backdoor chiamata Win32/StealthFalcon, che è stata trovata ad utilizzare il servizio Windows Background Intelligent Transfer Service (BITS) per le comunicazioni di comando e controllo (C2) e per ottenere il controllo completo di un endpoint.
Deadglyph è l’ultima aggiunta all’arsenale di Stealth Falcon, secondo la società di sicurezza informatica slovacca, che ha analizzato una violazione in un ente governativo non specificato del Medio Oriente.
Il metodo esatto utilizzato per consegnare l’impianto è attualmente sconosciuto, ma il componente iniziale che attiva la sua esecuzione è un caricatore di shellcode che estrae e carica il shellcode dal Registro di sistema di Windows, il quale avvia successivamente il modulo x64 nativo di Deadglyph, chiamato Executor.
L’Executor procede quindi al caricamento di un componente .NET noto come Orchestrator che, a sua volta, comunica con il server di comando e controllo (C2) per attendere ulteriori istruzioni. Il malware si impegna anche in una serie di manovre evasive per passare sotto il radar, compresa la capacità di disinstallarsi.
I comandi ricevuti dal server vengono messi in coda per l’esecuzione e possono rientrare in una delle tre categorie: compiti dell’Orchestrator, compiti dell’Executor e compiti di caricamento.
“I compiti dell’Executor offrono la possibilità di gestire la backdoor ed eseguire moduli aggiuntivi“, ha detto ESET. “I compiti dell’Orchestrator offrono la possibilità di gestire la configurazione dei moduli Network e Timer e anche di annullare compiti in sospeso.”
Alcuni dei compiti dell’Executor identificati comprendono la creazione di processi, l’accesso ai file e la raccolta di metadati di sistema. Il modulo Timer viene utilizzato per sondare periodicamente il server C2 in combinazione con il modulo Network, che implementa le comunicazioni C2 utilizzando richieste POST HTTPS.
I compiti di caricamento, come suggerisce il nome, consentono alla backdoor di caricare l’output dei comandi e gli errori.
ESET ha dichiarato di aver identificato anche un file di pannello di controllo (CPL) che è stato caricato su VirusTotal dal Qatar, che si dice abbia funzionato come punto di partenza per una catena multistadio che apre la strada a un downloader di shellcode che condivide alcune somiglianze di codice con Deadglyph.
Sebbene la natura dello shellcode recuperato dal server C2 rimanga poco chiara, è stato teorizzato che il contenuto potrebbe potenzialmente fungere da installer per il malware Deadglyph.
Il nome Deadglyph deriva da artefatti trovati nella backdoor (ID esadecimali 0xDEADB001 e 0xDEADB101 per il modulo Timer e la sua configurazione), uniti alla presenza di un attacco homoglyph che impersona Microsoft (“Ϻicrоsоft Corpоratiоn”) nel caricatore di shellcode del Registro VERSIONINFO.
“Deadglyph vanta una serie di meccanismi di contro-rilevamento, compresa la monitorizzazione continua dei processi di sistema e l’implementazione di modelli di rete casuali”, ha dichiarato l’azienda. “Inoltre, la backdoor è in grado di disinstallarsi per ridurre al minimo la probabilità della sua rilevazione in determinati casi.”
Cosa fare se ci si trovasse dinanzi ad un malware simile
È possibile che i primi tempi Deadglyph non sia rilevato né da buoni antivirus e antimalware, né da VirusTotal menzionato prima; in quel caso bisognerà attendere che gli antivirus vengano cnfigurati dai rispettivi programmatori in modo che aggirino “l’aggiramento” del rilevamento, che è questione di tempo.
Dato che questo malware attacca presumibilmente gli ambienti Windows aver fatto un backup preventivo dei dati (cosa che raramente si fa) e magari una successiva formattazione potrebbe essere un’opzione se sospetti di avere questa cosa installata sul tuo PC Windows.
Purtroppo finché gli antivirus non acquisiscono le definizioni è difficile capire se puoi avere un virus che ancora non è stato “studiato” dagli antivirus e antimalware, ci sono però indizi che possono fartelo capire come rallentamenti del PC, programmi che prima non c’erano e via discorrendo.
Il computer è una macchina e come tale necessita manutenzione, soprattutto da chi lo usa quotidianamente.