Eine kürzlich aufgetauchte benutzerdefinierte Hintertür namens Stealth Soldier wurde im Rahmen einer Reihe gezielter Spionageangriffe in Nordafrika eingesetzt.

Einem technischen Bericht des Cybersicherheitsunternehmens Check Point zufolge handelt es sich bei der Stealth Soldier-Malware um eine nicht dokumentierte Hintertür, die in erster Linie für die Überwachung entwickelt wurde. Zu seinen Funktionen gehören das Exfiltrieren von Dateien, das Aufzeichnen von Bildschirmen und Mikrofoneingaben, das Protokollieren von Tastatureingaben und das Stehlen von Browserinformationen.

Bei der laufenden Operation werden Command-and-Control (C&C)-Server verwendet, die Websites imitieren, die mit dem libyschen Außenministerium verbunden sind. Die ersten Spuren dieser Kampagne lassen sich bis zum Oktober 2022 zurückverfolgen.

Die Angriffe beginnen damit, dass potenzielle Ziele gefälschte Downloader-Binärdateien herunterladen, die durch Social-Engineering-Angriffe bereitgestellt werden und als Kanal für den Erhalt der Stealth Soldier-Backdoor dienen. Gleichzeitig wird eine leere PDF-Datei als Täuschung angezeigt, um die Opfer zu täuschen.

Lesen Sie auch: “Cisco und VMware veröffentlichen kritische Sicherheitsupdates”

Das benutzerdefinierte modulare Implantat, von dem angenommen wird, dass es sparsam eingesetzt wird, ermöglicht Überwachungsfunktionen, indem es Verzeichnislisten und Browser-Anmeldeinformationen sammelt, Tastatureingaben und Mikrofon-Audio aufzeichnet, Screenshots erfasst, Dateien hochlädt und PowerShell-Befehle ausführt. Check Point erklärte: “Die Malware verwendet verschiedene Arten von Befehlen, von denen einige Plugins sind, die vom C&C-Server heruntergeladen werden, während andere Module innerhalb der Malware selbst sind.” Die Existenz von drei Versionen des Stealth Soldier deutet darauf hin, dass die Betreiber ihn aktiv pflegen.

Obwohl einige Komponenten nicht mehr zugänglich sind, wurde berichtet, dass die Plugins für die Bildschirmaufnahme und den Diebstahl von Anmeldedaten durch Open-Source-Projekte auf GitHub beeinflusst wurden. Darüber hinaus überschneidet sich die von Stealth Soldier genutzte Infrastruktur mit der Infrastruktur, die mit einer früheren Phishing-Kampagne namens Eye on the Nile verbunden war, die 2019 auf ägyptische Journalisten und Menschenrechtsaktivisten abzielte.

Diese Entwicklung deutet auf ein mögliches Wiederauftauchen des Bedrohungsakteurs nach der oben erwähnten Kampagne hin und legt nahe, dass sich die Gruppe auf Überwachungsaktivitäten konzentriert, die auf ägyptische und libysche Einrichtungen abzielen.

Angesichts des modularen Charakters der Malware und der Verwendung mehrerer Infektionsstufen werden die Angreifer ihre Taktiken und Techniken weiterentwickeln und in naher Zukunft neue Versionen der Malware einsetzen, wie Check Point feststellt.