“Spionageaanvallen gericht op Noord-Afrika met heimelijke achterdeur”

Reading Time: ( Word Count: )

June 9, 2023
Nextdoorsec-course

Een onlangs opgedoken aangepaste backdoor genaamd Stealth Soldier is ingezet als onderdeel van een serie zeer gerichte spionage-aanvallen in Noord-Afrika.

Volgens een technisch rapport van cyberbeveiligingsbedrijf Check Point is de Stealth Soldier-malware een ongedocumenteerde backdoor die voornamelijk is ontworpen voor surveillance. De functionaliteiten omvatten het exfiltreren van bestanden, het opnemen van schermen en microfooninvoer, het vastleggen van toetsaanslagen en het stelen van browserinformatie.

De lopende operatie maakt gebruik van command-and-control (C&C) servers die websites nabootsen die in verband staan met het Libische ministerie van Buitenlandse Zaken. De vroegste sporen van deze campagne gaan terug tot oktober 2022.

De aanvallen beginnen met potentiële doelwitten die valse downloader-binaire bestanden downloaden, geleverd via social engineering-aanvallen, en fungeren als kanaal voor het verkrijgen van de achterdeur van Stealth Soldier. Tegelijkertijd wordt een leeg PDF-bestand weergegeven om de slachtoffers te misleiden.

Lees ook: “Cisco en VMware brengen kritieke beveiligingsupdates uit”.

Spionageaanvallen gericht op Noord-Afrika met heimelijke achterdeur

Het aangepaste modulaire implantaat, waarvan wordt aangenomen dat het slechts spaarzaam wordt gebruikt, maakt bewakingsmogelijkheden mogelijk door directory listings en browsergegevens te verzamelen, toetsaanslagen en microfoongeluid op te nemen, schermafbeeldingen vast te leggen, bestanden te uploaden en PowerShell-commando’s uit te voeren. Check Point verklaarde: “De malware gebruikt verschillende soorten commando’s, waarvan sommige plugins zijn die zijn gedownload van de C&C-server, terwijl andere modules zijn binnen de malware zelf.” Het bestaan van drie versies van Stealth Soldier geeft aan dat de operators het actief onderhouden.

Hoewel sommige onderdelen niet langer toegankelijk zijn, wordt gemeld dat de plugins voor het vastleggen van het scherm en het stelen van de browsergegevens zijn beïnvloed door open-source projecten die beschikbaar zijn op GitHub. Bovendien overlapt de infrastructuur die door Stealth Soldier werd gebruikt met de infrastructuur van een eerdere phishingcampagne genaamd Eye on the Nile, die in 2019 gericht was op Egyptische journalisten en mensenrechtenactivisten.

Deze ontwikkeling geeft aan dat de dreigingsactor mogelijk opnieuw verschijnt na de eerder genoemde campagne, wat suggereert dat de groep zich richt op surveillanceactiviteiten gericht op Egyptische en Libische entiteiten.

Gezien de modulaire aard van de malware en het gebruik van meerdere infectiestadia, zullen de aanvallers hun tactieken en technieken blijven ontwikkelen en in de nabije toekomst nieuwe versies van de malware inzetten, zoals Check Point aangeeft.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *