Deadglyph : une nouvelle menace ?

Des chercheurs en cybersécurité ont découvert une porte dérobée avancée non documentée auparavant, baptisée Deadglyph, utilisée par un acteur de menace connu sous le nom de Stealth Falcon dans le cadre d’une campagne de cyberespionnage.

« L’architecture de Deadglyph est inhabituelle car elle consiste en des composants coopératifs – l’un est un binaire x64 natif, l’autre un assemblage .NET », a déclaré ESET dans un nouveau rapport partagé avec The Hacker News.

« Cette combinaison est inhabituelle car les logiciels malveillants n’utilisent généralement qu’un seul langage de programmation pour leurs composants. Cette différence pourrait indiquer un développement séparé de ces deux composants tout en tirant profit des caractéristiques uniques des différents langages de programmation qu’ils utilisent ».
On soupçonne également que l’utilisation de différents langages de programmation est une tactique délibérée pour entraver l’analyse, ce qui rend la navigation et le débogage beaucoup plus difficiles.

Contrairement à d’autres portes dérobées traditionnelles de ce type, les commandes sont reçues d’un serveur contrôlé par l’acteur sous la forme de modules supplémentaires qui lui permettent de créer de nouveaux processus, de lire des fichiers et de collecter des informations à partir des systèmes compromis.

Stealth Falcon (alias FruityArmor) a été révélé pour la première fois par le Citizen Lab en 2016, qui l’a associé à une série d’attaques ciblées de logiciels espions au Moyen-Orient visant des journalistes, des activistes et des dissidents dans les Émirats arabes unis, à l’aide de leurres de spear-phishing intégrant des liens piégés pointant vers des documents contenant des macros, afin de livrer un implant personnalisé capable d’exécuter des commandes arbitraires.
Une enquête ultérieure menée par Reuters en 2019 a révélé une opération clandestine appelée Projet Raven qui impliquait un groupe d’anciens agents de renseignement américains recrutés par une société de cybersécurité nommée DarkMatter pour espionner des cibles critiques à l’égard de la monarchie arabe. On pense que Stealth Falcon et Project Raven sont le même groupe en raison des chevauchements dans les tactiques et le ciblage.

Le groupe a depuis été lié à l’exploitation zero-day de failles Windows telles que CVE-2018-8611 et CVE-2019-0797, Mandiant notant en avril 2020 que l’acteur de l’espionnage « a utilisé plus de zero-days que n’importe quel autre groupe » de 2016 à 2019. À peu près au même moment, ESET a détaillé l’utilisation par l’adversaire d’une porte dérobée nommée Win32/StealthFalcon qui s’est avérée utiliser le service de transfert intelligent en arrière-plan (BITS) de Windows pour les communications de commande et de contrôle (C2) et pour prendre le contrôle complet d’un point de terminaison. Deadglyph isESET a découvert une nouvelle porte dérobée appelée Deadglyph qui est utilisée pour cibler des entités au Moyen-Orient.

La porte dérobée, nommée Deadglyph d’après les artefacts trouvés dans le code, utilise un certain nombre de mécanismes de contre-détection pour éviter d’être détectée. Il s’agit notamment d’une surveillance continue des processus système et de la mise en œuvre de modèles de réseau aléatoires. La porte dérobée est également capable de se désinstaller afin de réduire davantage la probabilité d’être détectée.

ESET déclare avoir identifié un fichier de panneau de contrôle (CPL) qui a été téléchargé sur VirusTotal depuis le Qatar, et qui serait le point de départ d’une chaîne à plusieurs étapes menant au téléchargeur du logiciel malveillant Deadglyph. On ne sait pas exactement ce que fait le shellcode récupéré sur le serveur C2, mais il est possible qu’il serve d’installateur pour le logiciel malveillant Deadglyph.