No Oriente Médio, onde as ameaças persistentes avançadas (APTs) têm prosperado, a equipe de pesquisa da ESET fez uma descoberta surpreendente. Durante a rotina de monitoramento de atividades suspeitas nos sistemas de clientes de alto perfil na região, a equipe da ESET encontrou um backdoor sofisticado e desconhecido, agora chamado de Deadglyph. O nome foi derivado de artefatos encontrados no backdoor, como 0xDEADB001, e também de um ataque homoglyph. Até onde se sabe, esta é a primeira análise pública desse backdoor anteriormente não documentado, usado por um grupo notavelmente sofisticado, atribuído com alta confiança ao grupo APT Stealth Falcon.
O Deadglyph apresenta uma arquitetura incomum, com componentes que cooperam entre si - um binário nativo x64 e uma assembly .NET. Isso é raro, já que malwares geralmente usam apenas uma linguagem de programação para seus componentes. Além disso, os comandos de backdoor tradicionais não são implementados no binário do backdoor, mas sim recebidos dinamicamente do servidor de comando e controle (C&C) na forma de módulos adicionais. O backdoor possui várias capacidades para evitar detecção.
A ESET realizou uma análise técnica do Deadglyph, incluindo sua arquitetura, objetivo e componentes adicionais obtidos. A ESET também apresentou suas descobertas sobre o Deadglyph na conferência LABScon 2023. O backdoor foi atribuído ao grupo Stealth Falcon, que tem como alvo uma entidade governamental no Oriente Médio para fins de espionagem. O post também menciona a relação entre o Stealth Falcon e o Project Raven, um grupo supostamente composto por ex-operativos da NSA, que compartilham alvos semelhantes.
O Deadglyph tem uma cadeia de carregamento complexa, incluindo um carregador de shellcode de registro, Executor, Orchestrator e outros componentes. Os criadores do Deadglyph usam várias técnicas para dificultar a detecção, incluindo ofuscação e técnicas anti-análise.
Além disso, a análise realizada pela ESET menciona a descoberta de um downloader de shellcode relacionado, que pode ser usado na instalação do Deadglyph. Este downloader em várias etapas foi encontrado em um arquivo CPL assinado com um certificado expirado e sem contadorassinatura. Ele tem o potencial de servir como um instalador para o Deadglyph.
Em resumo, a equipe de pesquisa da ESET fez uma descoberta significativa no mundo das ameaças cibernéticas com o Deadglyph e seu relacionamento com o grupo Stealth Falcon. A análise realizada pelos pesquisadores de segurança fornece uma visão detalhada da arquitetura e das capacidades do Deadglyph, destacando sua sofisticação e o perigo que representa para as organizações no Oriente Médio e além.
Clique aqui e confira a análise completa publicada em inglês.