Исследователи кибербезопасности из ESET обнаружили новое сложное вредоносное ПО, нацеленное на правительственные организации на Ближнем Востоке.
Вредоносное ПО называется Deadglyph и, по всей видимости, является работой Stealth Falcon APT, спонсируемого государством злоумышленника, который, как утверждается, происходит из Объединенных Арабских Эмиратов (ОАЭ). Эта группа также известна некоторым исследователям как Project Raven или FruityArmor. ПипКомпьютер Сообщает и направлен против политических активистов, журналистов, диссидентов и подобных людей.
В его техническое описаниеИсследователи ESET объяснили, что Deadglyph — это модульное вредоносное ПО, способное получать дополнительные модули со своего сервера Command & Control (C2) в зависимости от того, что операторы хотят получить от целевой конечной точки. Модули могут использовать как Windows, так и специальные API-интерфейсы исполнителя, а это означает, что злоумышленники могут использовать как минимум дюжину функций. Некоторые из них включают загрузку исполняемых файлов, доступ к олицетворению токена, выполнение шифрования, хеширования и многое другое.
Несколько модулей
ESET проанализировала три модуля — создатель процессов, сборщик информации и программа чтения файлов. Например, сборщик может сообщить злоумышленникам, какую операционную систему использует жертва, какие сетевые адаптеры установлены на конечной точке, какое программное обеспечение и драйверы на ней установлены и т. д. Исследователи предполагают, что доступно до 14 модулей.
Информации о возможных целях нет, за исключением того, что вредоносное ПО было обнаружено на устройстве, принадлежащем государственной компании. Однако в предыдущих отчетах Stealth Falcon описывался как существующая уже несколько десятилетий угроза (действующая как минимум с 2012 года), нацеленная на политических активистов и журналистов, а не на государственных служащих.
В 2019 году компания ESET проанализировала одну из кампаний StealthFalcon и пришла к выводу, что цели, хотя и небольшие по количеству, были разбросаны по всему миру — в Объединенных Арабских Эмиратах, Саудовской Аравии, Таиланде и Нидерландах. Однако в последнем случае группа нацелилась на дипломатическую миссию ближневосточной страны.
На данный момент нет информации о том, как хакерам удалось взломать целевые устройства. В настоящее время ИТ-команды могут использовать только опубликованные индикаторы компрометации. Здесь.
Над ПипКомпьютер
Больше от TechRadar Pro
