Porte dérobée du glyphe mort
Les analystes de la cybersécurité ont récemment découvert une porte dérobée avancée connue sous le nom de « Deadglyph », qui n'avait pas été documentée auparavant. Ce malware sophistiqué a été utilisé par un acteur malveillant nommé « Stealth Falcon » dans le cadre de sa campagne de cyberespionnage.
Ce qui distingue Deadglyph, c'est son architecture non conventionnelle, composée de deux composants coopérants. L’un est un binaire x64 natif, tandis que l’autre est un assembly .NET. Cet écart par rapport à la norme est remarquable car la plupart des logiciels malveillants s'appuient généralement sur un seul langage de programmation pour leurs composants. L'adoption de cette approche bilingue suggère la possibilité d'efforts de développement séparés pour ces deux composants, capitalisant sur les capacités uniques de chaque langage de programmation.
En outre, on soupçonne que l’utilisation délibérée de différents langages de programmation constitue une tactique stratégique visant à entraver les efforts d’analyse. Cela rend considérablement plus difficile pour les chercheurs en sécurité la navigation et le débogage des logiciels malveillants, ce qui ajoute un niveau de complexité supplémentaire à leur détection et à leur atténuation.
Table des matières
La porte dérobée de Deadglyph affiche des caractéristiques inhabituelles
Deadglyph représente le dernier ajout à l'arsenal de Stealth Falcon, utilisé dans une entité gouvernementale non divulguée au Moyen-Orient. Se distinguant des portes dérobées conventionnelles, cet outil menaçant reçoit des commandes d'un serveur contrôlé par l'acteur menaçant. Ces commandes arrivent sous la forme de modules supplémentaires, accordant à Deadglyph la capacité de lancer de nouveaux processus, d'accéder aux fichiers et de récolter des données à partir de systèmes compromis.
La méthode exacte de pose des implants reste un mystère. Cependant, le déclencheur initial de son exécution est un chargeur de shellcode qui récupère et charge le shellcode à partir du registre Windows. Ceci, à son tour, lance l’exécution du composant x64 natif de Deadglyph, connu sous le nom d’« Executor ».
Une infection Deadglyph peut avoir des conséquences désastreuses pour les victimes
L'Executor, une fois activé, procède au chargement d'un composant .NET appelé « Orchestrator ». L'Orchestrator établit la communication avec le serveur Command-and-Control (C2), en attendant des directives supplémentaires. Ce malware utilise également une série de tactiques d’évasion pour rester sous le radar, possédant même la possibilité de s’auto-désinstaller. Les commandes reçues du serveur sont mises en file d'attente pour exécution, réparties en trois catégories distinctes : tâches d'orchestrateur, tâches d'exécution et tâches de téléchargement.
Les tâches de l'exécuteur permettent de contrôler la gestion de la porte dérobée et l'exécution de modules supplémentaires. Les tâches Orchestrator, quant à elles, gèrent la configuration des modules Réseau et Minuterie et peuvent annuler les tâches en attente.
Plusieurs tâches de l'Exécuteur ont été identifiées, notamment la création de processus, l'accès aux fichiers et la collecte de métadonnées système. Le module Timer contacte périodiquement le serveur C2 en conjonction avec le module Réseau, facilitant la communication C2 via les requêtes HTTPS POST. Les tâches d'upload, comme leur nom l'indique, permettent à la porte dérobée de transmettre les résultats des commandes et les éventuelles erreurs rencontrées.
Deadglyph dispose d'une gamme de mécanismes anti-détection, notamment la surveillance continue des processus système et la mise en œuvre de modèles de réseau aléatoires. De plus, il possède la capacité de s’auto-désinstaller dans certains scénarios afin de réduire la probabilité de détection.
Le groupe de cybercriminalité Stealth Falcon existe depuis près d’une décennie
Le Stealth Falcon, également connu sous le nom de FruityArmor, a initialement attiré l'attention du public en 2016 lorsque des chercheurs ont découvert son implication dans des attaques ciblées de logiciels espions au Moyen-Orient. Ces attaques visaient des journalistes, des militants et des dissidents aux Émirats arabes unis (EAU). Les auteurs de la menace ont eu recours à des tactiques de spear phishing, attirant les victimes avec des liens trompeurs intégrés dans des e-mails menant à des documents chargés de macros. Ces documents ont servi de mécanismes de livraison pour un implant personnalisé capable d'exécuter des commandes arbitraires.
Une enquête ultérieure menée en 2019 a révélé une opération secrète appelée Projet Raven, qui mettait en vedette un groupe d'anciens professionnels du renseignement américain recrutés par une société de cybersécurité appelée DarkMatter. Leur mission était de surveiller les individus critiques envers la monarchie arabe. Remarquablement, Stealth Falcon et Project Raven semblent être une seule et même personne, comme en témoignent leurs tactiques et leurs cibles communes.
Au fil du temps, ce groupe a été lié à l'exploitation de vulnérabilités zero-day dans Windows, notamment CVE-2018-8611 et CVE-2019-0797. Les chercheurs en sécurité de l’information ont noté qu’entre 2016 et 2019, ce groupe d’espionnage a utilisé plus largement les vulnérabilités du jour zéro que toute autre entité.
À peu près à la même période, l’adversaire a été observé en train d’utiliser une porte dérobée connue sous le nom de Win32/StealthFalcon. Cette menace exploitait le service de transfert intelligent en arrière-plan (BITS) de Windows pour les communications de commande et de contrôle (C2), accordant aux attaquants un contrôle total sur les points finaux compromis.
