Puerta trasera de glifo muerto
Los analistas de ciberseguridad descubrieron recientemente una puerta trasera avanzada conocida como "Deadglifo", que no había sido documentada previamente. Este sofisticado malware fue empleado por un actor de amenazas llamado "Stealth Falcon" como parte de su campaña de ciberespionaje.
Lo que distingue a Deadglyph es su arquitectura poco convencional, que consta de dos componentes cooperativos. Uno es un binario x64 nativo, mientras que el otro es un ensamblado .NET. Esta desviación de la norma es notable porque la mayoría del malware normalmente depende de un único lenguaje de programación para sus componentes. La adopción de este enfoque de lenguaje dual sugiere la posibilidad de esfuerzos de desarrollo separados para estos dos componentes, aprovechando las capacidades únicas de cada lenguaje de programación.
Además, se sospecha que el uso deliberado de diferentes lenguajes de programación sirve como táctica estratégica para impedir los esfuerzos de análisis. Esto hace que sea considerablemente más difícil para los investigadores de seguridad navegar y depurar el malware, incluyendo una capa más de complejidad para su detección y mitigación.
Tabla de contenido
La puerta trasera de Deadglyph muestra características inusuales
Deadglyph representa la última incorporación al arsenal de Stealth Falcon, ejercido en una entidad gubernamental no revelada en el Medio Oriente. A diferencia de las puertas traseras convencionales, esta herramienta amenazadora recibe comandos de un servidor controlado por el actor de la amenaza. Estos comandos llegan en forma de módulos complementarios, lo que otorga a Deadglyph la capacidad de iniciar nuevos procesos, acceder a archivos y recopilar datos de sistemas comprometidos.
El método exacto de colocación del implante sigue siendo un misterio. Sin embargo, el desencadenante inicial para su ejecución es un cargador de shellcode que recupera y carga el shellcode del Registro de Windows. Esto, a su vez, inicia la ejecución del componente x64 nativo de Deadglyph, conocido como "Ejecutor".
Una infección Deadglifo puede tener consecuencias desastrosas para las víctimas
El Ejecutor, una vez activado, procede a cargar un componente .NET llamado "Orquestador". El orquestador establece comunicación con el servidor de comando y control (C2), en espera de más directivas. Este malware también emplea una serie de tácticas de evasión para permanecer fuera del radar, incluso posee la capacidad de autodesinstalarse. Los comandos recibidos del servidor se ponen en cola para su ejecución y se dividen en tres categorías distintas: tareas del orquestador, tareas del ejecutor y tareas de carga.
Las tareas del ejecutor otorgan control sobre la gestión del backdoor y la ejecución de módulos adicionales. Las tareas del orquestador, por otro lado, administran la configuración de los módulos de red y temporizador y pueden cancelar tareas pendientes.
Se han identificado varias tareas del Ejecutor, incluida la creación de procesos, el acceso a archivos y la recopilación de metadatos del sistema. El módulo Temporizador contacta periódicamente al servidor C2 junto con el módulo de Red, facilitando la comunicación C2 a través de solicitudes HTTPS POST. Las tareas de carga, como su nombre lo indica, permiten que la puerta trasera transmita los resultados de los comandos y cualquier error encontrado.
Deadglyph cuenta con una variedad de mecanismos antidetección, incluido el monitoreo continuo de los procesos del sistema y la implementación de patrones de red aleatorios. Además, posee la capacidad de autodesinstalarse en ciertos escenarios para reducir la probabilidad de detección.
El grupo de cibercrimen Stealth Falcon ha estado operando durante casi una década
El Stealth Falcon, también conocido como FruityArmor, llamó la atención del público inicialmente en 2016, cuando los investigadores descubrieron su participación en ataques de software espía dirigidos en Medio Oriente. Estos ataques estuvieron dirigidos a periodistas, activistas y disidentes en los Emiratos Árabes Unidos (EAU). Los actores de amenazas emplearon tácticas de phishing, atrayendo a las víctimas con enlaces engañosos incrustados en correos electrónicos que conducían a documentos cargados de macros. Estos documentos sirvieron como mecanismos de entrega para un implante personalizado capaz de ejecutar comandos arbitrarios.
Una investigación posterior en 2019 reveló una operación encubierta llamada Proyecto Raven, que incluía a un grupo de exprofesionales de inteligencia estadounidenses reclutados por una empresa de ciberseguridad llamada DarkMatter. Su misión era vigilar a personas críticas con la monarquía árabe. Sorprendentemente, Stealth Falcon y Project Raven parecen ser lo mismo, como lo demuestran sus tácticas y objetivos compartidos.
Con el tiempo, este grupo se ha relacionado con la explotación de vulnerabilidades de día cero en Windows, incluidas CVE-2018-8611 y CVE-2019-0797. Los investigadores de seguridad de la información han señalado que, entre 2016 y 2019, este grupo de espionaje hizo un uso más extensivo de las vulnerabilidades de día cero que cualquier otra entidad.
Alrededor de este mismo período, se observó que el adversario utilizaba una puerta trasera conocida como Win32/StealthFalcon. Esta amenaza aprovechó el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para las comunicaciones de comando y control (C2), otorgando a los atacantes un control total sobre los puntos finales comprometidos.
