اكتشف باحثو شركة ESET إسيت برنامج خبيث Deadglyph، وهو باب خلفي متطور تستخدمه مجموعة ستيلث فالكون Stealth Falcon الإماراتية سيئة السمعة للتجسس على النشطاء السياسيين والصحفيين والمعارضين في الشرق الأوسط.
يتمتع Deadglyph بهندسة معمارية غير عادية، ويتم توفير إمكانيات الباب الخلفي الخاصة به من خلال القيادة والسيطرة الخاصة به في شكل وحدات إضافية.
كما يضم مجموعة من آليات الكشف المضاد، بما في ذلك المراقبة المستمرة لعمليات النظام وتنفيذ أنماط الشبكة العشوائية. علاوة على ذلك، فإن الباب الخلفي قادر على إلغاء تثبيت نفسه لتقليل احتمالية اكتشافه في حالات معينة.
ستيلث فالكون Stealth Falcon (المعروفة أيضًا باسم Project Raven أو FruityArmor) هي مجموعة تهديد مرتبطة بالإمارات العربية المتحدة وفقًا لـ MITRE. نشط منذ عام 2012، ومن المعروف أن Stealth Falcon يستهدف النشطاء السياسيين والصحفيين والمعارضين في الشرق الأوسط. تم اكتشافه ووصفه لأول مرة بواسطة Citizen Lab، الذي نشر تحليلاً لحملة من هجمات برامج التجسس في عام 2016.
ملخص التقرير
لسنوات عديدة، حافظ الشرق الأوسط على سمعته كأرض خصبة للتهديدات المستمرة المتقدمة (APTs). في خضم المراقبة الروتينية للأنشطة المشبوهة على أنظمة العملاء البارزين، وبعضهم متمركز في هذه المنطقة، عثرت أبحاث ESET على باب خلفي متطور للغاية وغير معروف أطلقنا عليه اسم Deadglyph. لقد اشتقنا الاسم من القطع الأثرية الموجودة في الباب الخلفي، بالإضافة إلى وجود حرف رسومي متماثل هجوم. على حد علمنا، هذا هو أول تحليل عام لهذا الباب الخلفي غير الموثق سابقًا، والذي تستخدمه مجموعة تظهر درجة ملحوظة من التطور والخبرة. بناءً على الاستهداف والأدلة الإضافية، ننسب Deadglyph بثقة عالية إلى مجموعة Stealth Falcon APT.
تعتبر بنية Deadglyph غير عادية لأنها تتكون من مكونات مختلطة - أحدهما ثنائي أصلي x64 والآخر عبارة عن تجميع .NET. هذا المزيج غير معتاد لأن البرامج الضارة تستخدم عادةً لغة برمجة واحدة فقط لمكوناتها. قد يشير هذا الاختلاف إلى تطوير منفصل لهذين المكونين مع الاستفادة أيضًا من الميزات الفريدة للغات البرمجة المميزة التي يستخدمونها. يمكن أيضًا تسخير لغة مختلفة لعرقلة التحليل، لأن التعليمات البرمجية المختلطة تكون أكثر صعوبة في التنقل وتصحيح الأخطاء.
لا يتم تنفيذ أوامر الباب الخلفي التقليدية في الباب الخلفي الثنائي؛ وبدلاً من ذلك، يتم استقبالها ديناميكيًا من خادم القيادة والتحكم (C&C) في شكل وحدات إضافية. يتميز هذا الباب الخلفي أيضًا بعدد من الإمكانات لتجنب اكتشافه.
ضحية التسلل الذي تم تحليله هو كيان حكومي في الشرق الأوسط تم اختراقه لأغراض التجسس. وتم أيضًا تحميل عينة ذات صلة موجودة على موقع VirusTotal إلى منصة فحص الملفات من هذه المنطقة، وتحديدًا من قطر.
ستيلث فالكون Stealth Falcon (المعروفة أيضًا باسم Project Raven أو FruityArmor) هي مجموعة تهديد مرتبطة بالإمارات العربية المتحدة وفقًا لـ MITRE. نشط منذ عام 2012، ومن المعروف أن Stealth Falcon يستهدف النشطاء السياسيين والصحفيين والمعارضين في الشرق الأوسط. تم اكتشافه ووصفه لأول مرة بواسطة Citizen Lab، الذي نشر تحليلاً لحملة من هجمات برامج التجسس في عام 2016.
في يناير 2019، نشرت رويترز تقريرًا استقصائيًا عن مشروع رافين، وهي مبادرة يُزعم أنها توظف عملاء سابقين في وكالة الأمن القومي وتهدف إلى نفس أنواع الأهداف مثل Stealth Falcon. واستناداً إلى هذين التقريرين اللذين يشيران إلى نفس الأهداف والهجمات، خلصت منظمة العفو الدولية إلى أن Stealth Falcon وProject Raven هما في الواقع نفس المجموعة.
في سبتمبر 2019، نشرنا بحثًا عن باب خلفي، منسوب إلى Stealth Falcon، يستخدم تقنية غير عادية، وهي خدمة النقل الذكي في الخلفية، لاتصالات القيادة والسيطرة. نكشف الآن عن نتيجة تحليلنا المتعمق لما يُفترض أنه أحدث إضافة إلى مجموعة أدوات التجسس في Stealth Falcon.