Стелс-сокол в небесах Ближнего Востока: разбор бэкдора Deadglyph и его последствий

Недавние исследования компании ESET привлекли внимание к новому высокотехнологичному бэкдору, который был назван Deadglyph. бэкдор был обнаружен в ходе мониторинга подозрительной активности на системах высокопрофильных клиентов в Ближнем Востоке. Исследователи с высокой степенью уверенности приписывают Deadglyph к группе APT (Advanced Persistent Threat) Stealth Falcon, известной своими шпионскими операциями в этом регионе.

Особенности Deadglyph включают необычную архитектуру, состоящую из сотрудничающих компонентов, написанных на разных языках программирования (native x64 binary и .NET assembly), что делает его анализ более сложным. Бэкдор не имеет встроенных команд управления, вместо этого он динамически получает их от сервера управления и контроля (C&C) в виде дополнительных модулей, что позволяет избежать обнаружения.

Deadglyph был использован для шпионажа в отношении государственного органа на Ближнем Востоке, а конкретно в Катаре. Группа Stealth Falcon, также известная как Project Raven или FruityArmor, связана с Объединенными Арабскими Эмиратами и активна с 2012 года. Она нацелена на политических активистов, журналистов и диссидентов в регионе Ближнего Востока.

Deadglyph представляет собой последнее дополнение к арсеналу инструментов шпионажа Stealth Falcon. Этот бэкдор имеет сложную цепочку загрузки, включая несколько компонентов, и использует уникальные методы для установки и обеспечения устойчивости в системе жертвы.

Исследователи ESET также обнаружили связанный загрузчик шелл-кода, который, как предполагается, может быть использован для установки Deadglyph. Этот загрузчик шелл-кода был обнаружен в подписанном CPL-файле, загруженном на VirusTotal из Катара, и имеет некоторые сходства с кодом Deadglyph.

Эти открытия подчеркивают продолжающееся использование высокотехнологичных угроз в регионе Ближнего Востока и поднимают вопросы о безопасности киберпространства в этом регионе.