O Stealth Falcon, ator de ameaça persistente avançada (APT), foi observado implantando um novo backdoor nos sistemas de uma entidade governamental no Oriente Médio, para fins de espionagem, relata a ESET.
O novo backdoor, que a ESET nomeou Glifo Mortoconsiste em um binário x64 nativo que funciona como executor e um assembly .NET que funciona como orquestrador.
O malware é entregue no sistema na forma de uma DLL que abusa da assinatura de eventos do Windows Management Instrumentation (WMI) para persistência e que funciona como um carregador de shellcode do registro.
Uma vez executada, a DLL carrega, descriptografa e executa o shellcode criptografado armazenado no registro do Windows, o que leva à descriptografia e execução do componente executor do Deadglyph.
O componente é responsável por carregar configurações e inicializar o tempo de execução do .NET, além de carregar o código .NET incorporado (o orquestrador).
O componente .NET do Deadglyph estabelece comunicação de comando e controle (C&C) e executa comandos. Ele usa um temporizador e um módulo de rede para se comunicar periodicamente com o servidor C&C, em intervalos aleatórios, para evitar padrões detectáveis.
O servidor C&C envia comandos para os componentes do backdoor na forma de tarefas. O orquestrador pode ser encarregado de modificar as configurações dos módulos de rede e de temporizador, enquanto as tarefas do executor são destinadas a gerenciar o backdoor e executar módulos adicionais.
A ESET estima que o executor pode buscar até quatorze módulos diferentes que funcionam como comandos backdoor e que são servidos como DLLs com uma exportação sem nome.
Na execução, os módulos são fornecidos com uma função de resolução de API que pode resolver APIs do Windows e APIs de Executor personalizadas – a ESET identificou 39 funções relacionadas às APIs de Executor, incluindo operações de arquivo, criptografia e hash, compactação, carregamento de PE, utilidade e acesso representação de token.
Um dos módulos é responsável por coletar informações sobre o sistema operacional, adaptadores de rede, aplicativos instalados, drivers, serviços, unidades, processos, usuários, software de segurança e variáveis de ambiente.
Ao investigar o Deadglyph, a ESET descobriu um arquivo CPL assinado com um certificado expirado que foi carregado no VirusTotal do Qatar, que funcionava como um downloader de shellcode de vários estágios e que compartilhava semelhanças de código com o backdoor do Stealth Falcon.
Ativo desde pelo menos 2012 e que se acredita estar ligado ao governo dos Emirados Árabes Unidos (EAU), o Stealth Falcon é conhecido por atacar jornalistas, ativistas e dissidentes.
Com base em ataques e ataques semelhantes, a Amnistia Internacional afirmou em 2019 que o Stealth Falcon é o mesmo grupo do Project Raven, uma iniciativa alegadamente composta por antigos agentes da NSA.