ESET раскрывает детали политических кибератак на Ближнем Востоке

Эксперты ESET обнаружили опасный бэкдор, который оказался связан с другим вредоносным ПО киберпреступной группы Stealth Falcon.

Группа киберпреступников Stealth Falcon ведет свою деятельность с 2012 года, и её целями являются политические активисты и журналисты на Ближнем Востоке. Некоторые аналитики связывают их деятельность с Project Raven, в котором, по слухам, задействованы бывшие сотрудники АНБ США. 

Небольшая часть технических данных о Stealth Falcon уже стала достоянием общественности, включая анализ ключевого компонента малвари — PowerShell-бэкдора. Он попадает на компьютер при помощи зараженного документа во вредоносном электронном письме.

Специалисты ESET обнаружили исполняемый файл бэкдора, о котором ранее не сообщалось. Для меньшей путаницы свое название он получил в честь хакерской группы — Win32/StealthFalcon. Эксперты обнаружили несколько атак с использованием этой малвари в ОАЭ, Саудовской Аравии, Таиланде и Нидерландах. В последнем случае целью была дипломатическая миссия ближневосточной страны.

Исследование ESET выявило сходства между недавно обнаруженным исполняемым бэкдором и скриптом PowerShell с функциями бэкдора, который ранее был отнесен к деятельности группы Stealth Falcon. Специалисты считают эти сходства серьезным доказательством того, что одна и та же группа работала над обоими бэкдорами.

Win32/StealthFalcon использует довольно необычный способ коммуникации со своим командным сервером. Она происходит при помощи стандартного компонента Windows под названием Background Intelligent Transfer Service (BITS). По сравнению с традиционной коммуникацией через функции API, механизм связи BITS реализован через интерфейс COM и работает более скрытно. Поэтому файерволы его не блокируют. 

Вдобавок к необычной коммуникации с C&C-сервером у Win32/StealthFalcon есть несколько продвинутых методов для предотвращения обнаружения и анализа, обеспечения персистентности и усложнения ретроспективного анализа.

18 сентября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез информационной безопасности и кооперации в новом формате — конференция Coop Days IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера
17.09.2025
ИИ Microsoft захватывает Европу
16.09.2025
Max и «Магнит» тестируют «Цифровой ID»
16.09.2025
Образовательные учреждения стали меньше платить вымогателям
16.09.2025
ЦБТ: «Биометрический» курьер несёт ответственность вплоть до уголовной
16.09.2025
InfoWatch: Предприятиям ТЭК удалось переломить негативную тенденцию

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных