Logiciel malveillant de soldat furtif
\
La communauté de la cybersécurité a récemment découvert une porte dérobée personnalisée nouvellement identifiée appelée Stealth Soldier, qui a été utilisée dans une série de campagnes d'espionnage sophistiquées et spécifiquement ciblées en Afrique du Nord.
The Stealth Soldier est un logiciel malveillant de porte dérobée non documenté qui présente une gamme de capacités de surveillance, visant à collecter des informations sensibles à partir de systèmes compromis. Il exécute diverses fonctions de surveillance, telles que l'extraction de fichiers de l'appareil infecté, l'enregistrement des activités sur l'écran et le microphone, l'enregistrement des frappes au clavier et le vol de données liées à la navigation.
Un aspect notable de cette opération d'attaque est l'utilisation de serveurs de commandement et de contrôle (C&C) qui imitent les sites Web associés au ministère libyen des Affaires étrangères. En imitant ces sites légitimes, les attaquants créent un environnement trompeur qui facilite l'exécution de leurs activités malveillantes. Les premières traces de cette campagne Stealth Soldier remontent à octobre 2022, indiquant que les attaquants opèrent activement depuis une période considérable.
Les opérateurs de logiciels malveillants Stealth Soldier utilisent des tactiques d'ingénierie sociale
La campagne d'attaque démarre avec des cibles potentielles amenées à télécharger des fichiers binaires de téléchargement malveillants par le biais de tactiques d'ingénierie sociale. Ces binaires trompeurs servent de moyen pour diffuser le malware Stealth Soldier, tout en affichant simultanément un fichier PDF leurre apparemment inoffensif pour distraire les victimes.
Une fois que le logiciel malveillant Stealth Soldier est déployé avec succès, son implant modulaire personnalisé devient actif. Cet implant, censé être utilisé avec parcimonie pour éviter d'être détecté, équipe le logiciel malveillant d'une gamme de capacités de surveillance. Il rassemble les listes de répertoires et les informations d'identification du navigateur, enregistre les frappes au clavier, enregistre l'audio du microphone de l'appareil, capture des captures d'écran, télécharge des fichiers et exécute des commandes PowerShell.
Le logiciel malveillant utilise différents types de commandes. Certaines commandes sont des plugins téléchargés à partir du serveur Command-and-Control (C&C), tandis que d'autres sont des modules intégrés au malware lui-même. Cette approche modulaire permet une flexibilité et une adaptabilité dans la fonctionnalité du logiciel malveillant. Cela indique également que les opérateurs maintiennent et mettent à jour activement le malware, comme en témoigne la découverte de trois versions distinctes du Stealth Soldier.
Bien que certains des composants du Stealth Soldier ne soient plus accessibles, l'analyse a révélé que certaines fonctionnalités, telles que la capture d'écran et le vol d'identifiants de navigateur, ont été inspirées par des projets open source disponibles sur GitHub. Cela suggère que les acteurs de la menace derrière Stealth Soldier se sont inspirés des outils existants et les ont incorporés dans leurs logiciels malveillants personnalisés pour améliorer ses capacités et son efficacité.
Similitudes avec les opérations de logiciels malveillants précédemment enregistrées
De plus, il a été découvert que l'infrastructure utilisée par le soldat furtif partage des similitudes avec l'infrastructure liée à une précédente campagne de phishing connue sous le nom d'Eye on the Nile. La campagne Eye on the Nile a ciblé des journalistes égyptiens et des militants des droits humains en 2019.
Cette évolution indique la résurgence potentielle de l'acteur menaçant responsable des deux campagnes. Cela suggère que le groupe se concentre spécifiquement sur la conduite d'activités de surveillance ciblant des individus en Égypte et en Libye.
Compte tenu de la nature modulaire du logiciel malveillant et de l'utilisation de plusieurs étapes d'infection, il est fort probable que les attaquants continueront d'adapter leurs tactiques et leurs techniques. Cette adaptabilité implique que l'auteur de la menace publiera probablement des versions mises à jour du logiciel malveillant dans un proche avenir, introduisant potentiellement de nouvelles fonctionnalités et des manœuvres d'évitement pour poursuivre ses objectifs de surveillance.
