En våg av avancerade persistent hot-attacker (APT) riktade mot libyer har upptäckts, med skadlig programvara som utför övervakningsfunktioner.
Spotted by Check Point Research, skadlig programvara Stealth Soldier utför främst övervakningsfunktioner som filexfiltrering, skärm- och mikrofoninspelning, tangenttryckningsloggning och stjäl webbläsarinformation. Denna skadliga programvara lägger också till en odokumenterad, anpassad modulär bakdörr, där forskarna hävdar att den senaste versionen troligen har levererats i februari.
Check Point-forskare sa att den äldsta versionen kompilerades i oktober förra året och tror att kommando-och-kontroll-nätverket (C2) är en del av en större uppsättning infrastruktur, som används för spjutfiskekampanjer mot statliga enheter.
Det finns indikationer på att de skadliga C2-servrarna är relaterade till en större uppsättning domäner, noterade företaget, och dessa servrar används sannolikt för nätfiskekampanjer. Vissa av domänerna maskerar sig också som webbplatser som tillhör det libyska utrikesministeriet.
Sergey Shykevich, gruppchef för hotintelligence på Check Point, säger att leveransmekanismen för nedladdaren för närvarande är okänd, men nätfiskemeddelanden var den mest troliga taktiken som användes. När han tittar på infrastrukturen säger han att forskarna "såg betoning på att rikta in sig på den libyska regeringen."
Länkar till det förflutna?
Stealth Soldier-infrastrukturen har vissa överlappningar med infrastruktur som används i "Öga på Nilen”-kampanj, som opererade mot egyptiska mål 2019. Forskare tror att detta är den första möjliga återkomsten av denna hotaktör sedan dess. Shykevich bekräftar att det inte har upptäckts några attacker mot egyptiska användare som använder skadlig programvara Stealth Soldier.
Men version 8 av C2 i Stealth Solder malware löstes också av flera Eye on the Nile-domäner, enligt Check Point-forskare, medan flera infrastrukturöverlappningar med kända Eye on the Nile-domäner också upptäcktes.
På frågan om han tror att skadlig programvara Eye on the Nile och Stealth Soldier används av samma angripare eller om det bara är samma potentiellt hyrda C2:er och skadlig programvara som används, Shykevitj säger att bevisen bara "ger oss medelstort förtroende för kopplingen mellan den aktuella kampanjen till Eye on the Nile: Baserat på de överlappningar vi såg är det svårt att med 100% säkerhet hävda att det är samma grupp, men det finns en bra chans att det är."
Forskarna erkände att Libyen inte ofta är i fokus för APT-rapporter, men undersökningen tyder på att angriparna bakom denna kampanj är politiskt motiverade och använder Stealth Soldier malware och det betydande nätverket av phishing-domäner för att utföra övervakning och spionage mot libyska mål .
"Med tanke på modulariteten hos skadlig programvara och användningen av flera stadier av infektion, är det troligt att angriparna kommer att fortsätta att utveckla sin taktik och teknik och distribuera nya versioner av denna skadliga programvara inom en snar framtid," sa forskarna i rådgivningen.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- EVM Finans. Unified Interface for Decentralized Finance. Tillgång här.
- Quantum Media Group. IR/PR förstärkt. Tillgång här.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/dr-global/syealth-soldier-attacks-target-libyan-government-entities-surveillance-malware
