Il malware Stealth Soldier rivela la presenza di un attore minaccioso noto come "The Eye on the Nile"
Recenti ricerche condotte da Check Point Research hanno rivelato una sequenza di attacchi di cyber spionaggio che utilizzano una backdoor precedentemente sconosciuta chiamata Stealth Soldier, mirata a organizzazioni libiche. Questo sofisticato software dannoso è una backdoor modulare personalizzata che possiede capacità di sorveglianza.
Le organizzazioni libiche come bersaglio e l’infrastruttura del malware indicano il potenziale ritorno di un attore minaccioso noto come “The Eye on the Nile”, che è stato osservato in azione nel 2019.
Approfondendo i dettagli
La rete di comando e controllo (C&C) di Stealth Soldier fa parte di un’infrastruttura più ampia che è stata utilizzata, almeno in parte, per attacchi di spear-phishing mirati ad entità governative.
L’infezione inizia con il downloader, che avvia la catena di attacco. Sebbene il metodo preciso di distribuzione utilizzato dal downloader rimanga sconosciuto, si ritiene che l’ingegneria sociale sia una possibilità probabile.
La versione più recente dell’impianto è stata compilata nel febbraio 2023.
La procedura di infezione del malware comprende il recupero di numerosi file dal server C&C, tra cui il loader, il watchdog e il payload.
Parliamo delle sue versioni
Gli esperti di sicurezza hanno identificato tre distinti percorsi di infezione che coinvolgono tre diverse versioni del malware Stealth Soldier: 6, 8 e 9.
Le diverse versioni differiscono per fattori come i nomi dei file, i nomi dei mutex, le chiavi XOR e i nomi delle directory.
Inoltre, c’è una discrepanza nei valori assegnati alla chiave di registro SOFTWARE\Microsoft\Windows\CurrentVersion\Run per la persistenza:
- “Cache” per la Versione 6
- “WinUpdate” per la Versione 8
- “DevUpdate” per la Versione 9
Tuttavia, il flusso generale segue un pattern simile per diverse versioni ed espone la stessa logica sottostante.
Check Point Research ha scoperto somiglianze tra l’attuale operazione e la campagna “Eye on the Nile” precedentemente identificata, associata ad entità affiliate al governo secondo Amnesty International e Check Point Research.
La presenza di infrastrutture sovrapposte indica una potenziale correlazione tra queste due campagne, evidenziando la tenacia e la flessibilità dell’attore minaccioso responsabile della loro orchestrazione.
Conclusioni
La recente campagna del malware Stealth Soldier diretta alle organizzazioni libiche sottolinea la crescente complessità delle attività di cyber spionaggio. L’utilizzo di backdoor personalizzate e funzionalità di sorveglianza avanzate presenta rischi significativi per la sicurezza dei dati e la privacy delle entità prese di mira.
È fondamentale che le organizzazioni libiche e la comunità internazionale rafforzino le loro difese e lavorino insieme per contrastare queste minacce persistenti e proteggere la sicurezza digitale.
