Deadglyph: Backdoor Canggih Terbaru dengan Taktik Malware yang Khas

Cyberthreat.id - Peneliti keamanan siber menemukan backdoor canggih dijuluki Deadglyph, yang sebelumnya tidak terdokumentasikan. Deadglyph digunakan oleh aktor ancaman yang dikenal sebagai Stealth Falcon sebagai bagian dari kampanye spionase dunia maya.

“Arsitektur Deadglyph tidak biasa karena terdiri dari komponen-komponen yang bekerja sama – satu biner x64 asli, yang lainnya adalah rakitan .NET,” kata ESET dalam laporan baru yang dibagikan kepada The Hacker News.

“Kombinasi ini tidak biasa karena malware biasanya hanya menggunakan satu bahasa pemrograman untuk komponennya.”

Ditambahkan bahwa, perbedaan tersebut menunjukkan pengembangan terpisah dari kedua komponen tersebut sekaligus memanfaatkan fitur unik dari bahasa pemrograman berbeda yang mereka gunakan.

Penggunaan bahasa pemrograman yang berbeda juga diduga merupakan taktik yang disengaja untuk menghambat analisis, sehingga lebih sulit untuk dinavigasi dan di-debug.

Tidak seperti backdoor tradisional lainnya, perintah diterima dari server yang dikendalikan aktor dalam bentuk modul tambahan yang memungkinkannya membuat proses baru, membaca file, dan mengumpulkan informasi dari sistem yang disusupi.

The Hacke News menyebutkan Stealth Falcon (alias FruityArmor) pertama kali diungkap oleh Citizen Lab pada tahun 2016, menghubungkannya dengan serangkaian serangan spyware yang ditargetkan di Timur Tengah yang ditujukan pada jurnalis, aktivis, dan pembangkang di U.A.E.

Disebutkan, FruityArmor menggunakan umpan spear-phishing yang menyematkan tautan jebakan yang menunjuk ke dokumen yang dilengkapi makro untuk mengirimkan implan khusus yang mampu menjalankan perintah sewenang-wenang.

Investigasi selanjutnya yang dilakukan oleh Reuters pada tahun 2019 mengungkapkan operasi rahasia yang disebut Project Raven yang melibatkan sekelompok mantan agen intelijen AS.

Mantan agen intelijen AS yang direkrut oleh perusahaan keamanan siber bernama DarkMatter untuk memata-matai target yang kritis terhadap monarki Arab.

Stealth Falcon dan Project Raven diyakini merupakan kelompok yang sama berdasarkan kesamaan taktik dan penargetan.

Kelompok tersebut sejak itu dikaitkan dengan eksploitasi zero-day terhadap kelemahan Windows seperti CVE-2018-8611 dan CVE-2019-0797.

Mandiant mencatat pada bulan April 2020 bahwa aktor spionase tersebut "menggunakan lebih banyak zero-day dibandingkan kelompok lainnya". dari tahun 2016 hingga tahun 2019.

Sekitar waktu yang sama, ESET merinci penggunaan backdoor bernama Win32/StealthFalcon oleh musuh yang diketahui menggunakan Windows Background Intelligent Transfer Service (BITS) untuk komunikasi perintah dan kontrol (C2) dan untuk mendapatkan kendali penuh atas titik akhir.

Deadglyph adalah tambahan terbaru pada persenjataan Stealth Falcon, menurut perusahaan keamanan siber Slovakia, yang menganalisis intrusi pada entitas pemerintah yang tidak disebutkan namanya di Timur Tengah.

Metode pasti yang digunakan untuk mengirimkan implan saat ini tidak diketahui, tetapi komponen awal yang mengaktifkan eksekusinya adalah pemuat kode shell yang mengekstrak dan memuat kode shell dari Windows Registry, yang kemudian meluncurkan modul x64 asli Deadglyph, yang disebut sebagai The Executor.

The Executor kemudian melanjutkan dengan memuat komponen .NET yang dikenal sebagai Orchestrator yang, pada gilirannya, berkomunikasi dengan server perintah-dan-kontrol (C2) untuk menunggu instruksi lebih lanjut.

Malware ini juga melakukan serangkaian manuver mengelak untuk terbang di bawah radar, menghitung kemampuan untuk menghapus instalasinya sendiri.

Perintah yang diterima dari server diantrekan untuk dieksekusi dan dapat masuk dalam salah satu dari tiga kategori: tugas Orchestrator, tugas Executor, dan tugas Upload.

“Tugas The Executor menawarkan kemampuan untuk mengelola backdoor dan menjalankan modul tambahan,” kata ESET.

"Tugas Orchestrator menawarkan kemampuan untuk mengelola konfigurasi modul Jaringan dan Timer, dan juga untuk membatalkan tugas yang tertunda."

Beberapa tugas The Executor yang teridentifikasi terdiri dari pembuatan proses, akses file, dan pengumpulan metadata sistem.

Modul Timer digunakan untuk melakukan polling ke server C2 secara berkala dalam kombinasi dengan modul Jaringan, yang mengimplementasikan komunikasi C2 menggunakan permintaan HTTPS POST.

Tugas Upload, sesuai dengan namanya, memungkinkan backdoor mengunggah keluaran perintah dan kesalahan.

ESET mengatakan pihaknya juga mengidentifikasi file panel kontrol (CPL) yang diunggah ke VirusTotal dari Qatar, yang dikatakan berfungsi sebagai titik awal untuk rantai multi-tahap yang membuka jalan bagi pengunduh shellcode yang memiliki beberapa kemiripan kode dengan Mesin terbang mati.

Meskipun sifat kode shell yang diambil dari server C2 masih belum jelas, terdapat teori bahwa konten tersebut berpotensi berfungsi sebagai penginstal malware Deadglyph.

Deadglyph mendapatkan namanya dari artefak yang ditemukan di backdoor (ID heksadesimal 0xDEADB001 dan 0xDEADB101 untuk modul Timer dan konfigurasinya), ditambah dengan adanya serangan homoglyph yang meniru identitas Microsoft ("Ϻicrоsоft Corpоratiоn") di sumber daya VERSIONINFO pemuat kode shell Registri.

“Deadglyph menawarkan serangkaian mekanisme deteksi balik, termasuk pemantauan berkelanjutan terhadap proses sistem dan penerapan pola jaringan acak,” kata perusahaan itu sebagaimana dikutip The Hacker News.

“Selain itu, pintu belakang mampu menghapus instalasinya sendiri untuk meminimalkan kemungkinan terdeteksinya dalam kasus tertentu.”[]