Компанія ESET повідомляє про виявлення нового бекдора, пов'язаного з групою кіберзлочинців Stealth Falcon. Шкідлива програма, яку продукти ESET виявляють як Win32/StealthFalcon, спрямована на користувачів ОАЕ, Саудівської Аравії, Тайланду та Нідерландів. В останньому випадку ціллю стала дипломатична місія однієї з країн Близького Сходу.
Варто відзначити, що група кіберзлочинців Stealth Falcon активна з 2012 року, а цілями зловмисників, зазвичай, стають політичні активісти та журналісти Близького Сходу. Раніше зловмисники в своїх атаках використовували бекдор на основі PowerShell, який поширювався за допомогою шкідливих електронних листів.
За даними нещодавнього дослідження спеціалісти ESET виявили схожість між відомим раніше шкідливим програмним забезпеченням на основі PowerShell та нещодавно зафіксованим виконуваним бекдором. Подібність коду та інфраструктури є свідченням того, що обидві загрози створені однією групою.
Крім підтримки основних команд, новий бекдор Win32/StealthFalcon демонструє системний підхід до збору та перехоплення даних, використовуючи інші інструменти та оновлюючи власну конфігурацію.
Також шкідлива програма застосовує досить незвичну техніку для з'єднання зі своїм командним сервером. Зокрема, загроза використовує стандартний компонент Windows – Background Intelligent Transfer Service (BITS). Порівняно з традиційним з’єднанням через функції API, механізм BITS відкривається через COM-інтерфейс, що ускладнює виявлення шкідливого коду.
На додаток до незвичного способу з'єднання з командним сервером, бекдор використовує ряд сучасних технік для запобігання виявленню/аналізу, забезпечення тривалого перебування в системі непоміченим та ускладнення аналізу.
Детальнішу інформацію про технічні особливості бекдора та індикатори компрометації можна знайти за посиланням.