Die Sicherheitsforscher von Check Point Research (CPR) haben eine laufende Operation gegen Ziele in Nordafrika, genauer Lybien, identifiziert, bei der eine bisher unbekannte, mehrstufige Backdoor namens Stealth Soldier zum Einsatz kommt. Das Command-and-Control (C&C)-Netzwerk der Malware ist Teil einer größeren Infrastruktur, die zumindest teilweise für Spear Phishing-Kampagnen gegen Regierungsstellen genutzt wird. Ausgehend von den Themen der Phishing-Websites und den VirusTotal-Einträgen scheint die Kampagne auf libysche Organisationen abzuzielen.
Stealth Soldier ist ein maßgeschneidertes Implantat, das wahrscheinlich bei einer begrenzten Anzahl gezielter Angriffe eingesetzt wird. Das Implantat ermöglicht Überwachungsoperationen und unterstützt Funktionen wie die Protokollierung von Tastatureingaben und die Aufzeichnung von Screenshots und Mikrofonen. Die verschiedenen gefundenen Versionen deuten darauf hin, dass Stealth Soldier ab Januar 2023, dem Zeitpunkt der Kompilierung der neuesten Version, aktiv gepflegt wird.
Die Infektionskette für alle Stealth Soldier-Versionen beginnt mit der Ausführung des Downloaders. Obwohl der Übertragungsmechanismus des Downloaders derzeit nicht bekannt ist, deuten die Namen darauf hin, dass sie über Social Engineering übertragen wurden. Die Infektionskette der Malware ist komplex und enthält mehrere Dateien, die alle vom C&C-Server heruntergeladen werden. Während des Infektionsprozesses lädt die Malware insgesamt sechs Dateien von den C&C-Servern herunter.
Die Untersuchung legt nahe, dass die Angreifer hinter dieser Kampagne politisch motiviert sind und die Stealth Soldier-Malware sowie ein umfangreiches Netzwerk von Phishing-Domänen nutzen, um Überwachungs- und Spionageoperationen gegen libysche und ägyptische Ziele durchzuführen. Angesichts der Modularität der Malware und der Verwendung mehrerer Infektionsstufen ist es wahrscheinlich, dass die Angreifer ihre Taktiken und Techniken weiterentwickeln und in naher Zukunft neue Versionen dieser Malware einsetzen werden.
Schließlich ergab die Analyse eine Verbindung zu der zuvor aufgedeckten „Eye on the Nile“-Kampagne von 2019. Diese Erkenntnis wirft die Möglichkeit auf, dass die aktuelle Operation weitere unentdeckte Komponenten enthält. Dazu gehört eine mobile Backdoor, die in der früheren Kampagne verwendet, aber seitdem nicht mehr beobachtet wurde.
Mehr erfahren Sie hier: https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa/
Weitere Artikel
Wachstumspläne kleiner und mittlerer Unternehmen werden von unzureichender IT-Sicherheit gebremst
Ransomware trifft auf IoT: Warum IoT-Geräte einen anderen Sicherheitsansatz brauchen
Check Point veröffentlicht neue 1500er-Sicherheits-Gateways
Check Point Software Technologies zum Leader im Gartner Magic Quadrant for Mobile Data Protection Solutions 2015 ernannt