ESET 的研究人员发现了一个无证的后门,这个后门与隐形猎鹰集团用来攻击中东个人的恶意软件有关。
臭名昭着的威胁组织自 2012 年以来一直在针对记者,政治活动家和持不同政见者发起间谍软件攻击。该组织的目标个人将收到一封包含武器化文档的电子邮件,该文档提供基于 PowerShell 的后门程序。
通过探讨 Stealth Falcon 的活动,ESET 研究人员发现了一个以前未报告的可执行后门,他们将其命名为 Win32 / StealthFalcon。后门似乎是在 2015年创建的,可用于执行数据收集和渗透以及使用更多恶意工具。
与传统通信相比,Win32 / StealthFalcon 以其不寻常但智能的方式与其命令和控制(C&C)服务器进行通信。这个特殊的后门使用标准的 Windows 组件后台智能传输服务(BITS),而不是通过 API 函数进行通信。
由于两个原因,威胁组选择 BITS 是一个精明的举动。首先,BITS 机制通过组件对象模型(COM)公开,这使得安全产品难以检测。
其次,BITS 旨在传输大量数据,而不会占用大量网络带宽。它通常被更新程序,信使和其他旨在在后台运行的应用程序使用,这意味着它可能被大多数防火墙所允许。当你要隐身时,这是一个非常有用的设计功能。
Win32 / StealthFalcon 的另一个特点是它非常可靠。在网络中断,用户注销或系统重启中断后,传输将自动恢复。
ESET 调查还发现了在阿拉伯联合酋长国,沙特阿拉伯和泰国使用这种恶意软件进行的少量攻击。荷兰也发动了袭击,目标是中东国家的外交使命。
研究人员发现,新发现的可执行后门程序和 PowerShell 脚本之间存在相似之处,后门功能以前归功于 Stealth Falcon 组。证据表明,两个后门都是同一组的工作。
美国国际特赦组织的高级技术专家克劳迪奥·瓜尼耶里(Claudio Guarnieri)将隐形猎鹰(Stealth Falcon)与另一个威胁组织 Project Raven 联系起来,后者据称雇佣了前 NSA 特工攻击中东的类似目标。