Компания ESET сообщает об обнаружении нового бэкдора, связанного с группой киберпреступников Stealth Falcon. Вредоносная программа, которую продукты ESET обнаруживают как Win32/StealthFalcon, нацелена на пользователей ОАЭ, Саудовской Аравии, Таиланда и Нидерландов. В последнем случае целью стала дипломатическая миссия одной из стран Ближнего Востока.
Стоит отметить, что группа киберпреступников Stealth Falcon активна с 2012 года, а целями злоумышленников, как правило, становятся политические активисты и журналисты Ближнего Востока. Ранее злоумышленники в своих атаках использовали бэкдор на основе PowerShell, который распространялся с помощью вредоносных электронных писем.
По данным недавнего исследования специалисты ESET обнаружили сходство между известным ранее вредоносным программным обеспечением на основе PowerShell и недавно зафиксированным исполняемым бэкдором. Сходство кода и инфраструктуры является свидетельством того, что обе угрозы созданы одной группой.
Кроме поддержки основных команд, новый бэкдор Win32/StealthFalcon демонстрирует системный подход к сбору и перехвату данных, используя другие инструменты и обновляя собственную конфигурацию.
Также вредоносная программа применяет довольно необычную технику для соединения со своим командным сервером. В частности, угроза использует стандартный компонент Windows — Background Intelligent Transfer Service (BITS). По сравнению с традиционным соединением через функции API, механизм BITS открывается через COM-интерфейс, что затрудняет выявление вредоносного кода.
В дополнение к необычному способу соединения с командным сервером, бэкдор использует ряд современных техник для предотвращения выявления/анализа, обеспечения длительного пребывания в системе незамеченным и усложнения анализа.
Подробную информацию о технических особенностях бэкдора и индикаторы компрометации можно найти по ссылке.