Специалисты ESET обнаружили новый бэкдор, злоупотребляющий возможностями службы Windows BITS, и с связывают его с группировкой Stealth Falcon.

Данная группа правительственных хакеров известна ИБ-экспертам с 2016 года, когда отчет о ее деятельности опубликовала некоммерческая организация Citizen Lab. По их данным, группа активна с 2012 года и основными ее целыми являются  диссиденты из Объединенных Арабских Эмиратов (ОАЭ).

Теперь аналитики ESET сообщили, что нашли новый инструмент Stealth Falcon: малварь использует службу Windows BITS для взаимодействия со своим управляющим сервером.

Обычно Background Intelligent Transfer Service (BITS) используется Microsoft для работы с Windows Update и, когда пользователь не использует свое сетевое соединение, во время простоя происходит обновление ОС. Другие приложения также могут применять BITS для загрузки собственных обновлений.

Обнаруженному вредоносу исследователи присвоили идентификатор Win32/Stealth Falcon. Он действует как базовый бэкдор и позволяет своим операторам загружать и запускать дополнительный код на зараженных хостах или передавать данные на удаленные серверы.

Однако с управляющим сервером малварь связывается не через классические HTTP или HTTPS, но скрывает свой трафик внутри BITS. Исследователи полагают, что это сделано с целью обхода защитных решений, так как они, как правило, игнорируют BITS-трафик, зная, что тот содержит лишь обновления.

В остальном малварь ведет себя весьма тривиально. По-видимому, бэкдор был создан еще в 2015 году, так как для связи с управляющим сервером он использует домены, которые использовались еще PowerShell-бэкдором, описанном еще в отчете Citizen Lab.

«Код обоих бэкдоров демонстрирует значительное сходство: хотя они написаны на разных языках, основная логика сохраняется. Оба используют жестко закодированные идентификаторы (вероятно, это идентификаторы кампании или цели), — пишут исследователи ESET. — В обоих случаях исходящие от скомпрометированного хоста соединения содержат в префиксе эти идентификаторы и трафик шифруется с помощью RC4 и жестко закодированного ключа».

Обстоятельства обнаружения бэкдора и его цели исследователи не раскрывают. При этом сообщается, что ESET удалось продвинуться в отношении идентификации операторов Stealth Falcon. Так исследователи упоминанию компанию Amnesty International, которая заявляла, что группа Stealth Falcon, является частным подрядчиком по кибербезопасности DarkMater, фигурирующем в докладе Reuters от января 2019 года.

Тогда журналисты Reuters описывали Project Raven —  инициативу, в которой якобы задействованы бывшие сотрудники АНБ, помогавшие правительству ОАЭ выслеживать и взламывать устройства диссидентов, то есть атакуя те же цели, что и Stealth Falcon. Компания DarkMater, тогда отвергла все обвинения.

Стоит заметить, что бэкдор Stealth Falcon — это не первая малварь, злоупотребляющая возможностями BITS.  Например, похожее поведение демонстрировал троян Zlob.Q, обнаруженный ИБ-специалистами еще в 2016 году.

3 комментария

  1. Аватар

    Diflyrest

    10.09.2019 at 12:00

    • Аватар

      gena2022

      11.09.2019 at 08:20

      Если уже строчишь в каждой статье, то делай какой-то анализ, а не тупые коменты из одного-двух слов

  2. Аватар

    emeliyanov

    03.10.2019 at 05:50

    Ребята, вы серьезно? Этому трюку сто лет в обед, где здесь новость? Беглое гугление находит отчеты о такой технике на форуме Касперского в 2007 году.

Оставить мнение