Политические цели на Ближнем Востоке атакует новый бэкдор

Компания ESET сообщает об обнаружении нового бэкдора, связанного с группой киберпреступников Stealth Falcon. Вредоносная программа, которую продукты ESET обнаруживают как Win32/StealthFalcon, нацелена на пользователей ОАЭ, Саудовской Аравии, Таиланда и Нидерландов. В последнем случае целью стала дипломатическая миссия одной из стран Ближнего Востока.

Стоит отметить, что группа киберпреступников Stealth Falcon активна с 2012 года, а целями злоумышленников, как правило, становятся политические активисты и журналисты Ближнего Востока. Ранее злоумышленники в своих атаках использовали бэкдор на основе PowerShell, который распространялся с помощью вредоносных электронных писем.

В последнем случае целью бэкдора стала дипломатическая миссия одной из стран Ближнего Востока - ESET.

По данным недавнего исследования специалисты ESET обнаружили сходство между известным ранее вредоносным программным обеспечением на основе PowerShell и недавно зафиксированным исполняемым бэкдором. Сходство кода и инфраструктуры является свидетельством того, что обе угрозы созданы одной группой.

Кроме поддержки основных команд, новый бэкдор Win32/StealthFalcon  демонстрирует системный подход к сбору и перехвату данных, используя другие инструменты и обновляя собственную конфигурацию.

Также вредоносная программа применяет довольно необычную технику для соединения со своим командным сервером. В частности, угроза использует стандартный компонент Windows — Background Intelligent Transfer Service (BITS). По сравнению с традиционным соединением через функции API, механизм BITS открывается через COM-интерфейс, что затрудняет выявление вредоносного кода.

В дополнение к необычному способу соединения с командным сервером, бэкдор использует ряд современных техник для предотвращения выявления/анализа, обеспечения длительного пребывания в системе незамеченным и усложнения анализа.

Подробную информацию о технических особенностях бэкдора и индикаторы компрометации можно найти по ссылке.