Araştırmacılar yakın zamanda Orta Doğu’da bir devlet kurumuna karşı düzenlenen siber casusluk saldırısında kullanılan, “Deadglyph” adı verilen, sıra dışı mimariye sahip karmaşık bir arka kapı keşfettiler. Kötü amaçlı yazılımın, Birleşik Arap Emirlikleri (BAE) devlet destekli bir grup olan Stealth Falcon gelişmiş kalıcı tehdit (APT) ile ilişkilendirildiği belirtiliyor.
Orta Doğu’daki bazı yüksek profilli müşterilerinin şüpheli faaliyetlerini rutin olarak izleyen ESET, unicode dizeler içinde teknoloji devi Microsoft’un adını taklit eden homoglifler kullanan özel bir saldırının ayrıntılarını topladı. Bu durumda, “Microsoft Corporation” dizesinde genellikle İngilizce’de kullanılan standart Latin karakterleri yerine Kiril “M” ve Yunanca “o” alfabesi harfleri kullanılır.
APT de kendi adına “gizliliği” hak ediyor. Örneğin, Deadglyph kötü amaçlı yazılımı geleneksel arka kapı komutlarını arka kapı ikili sisteminden almaz, bunun yerine işlevlerini dinamik olarak modüller biçiminde bir komut ve kontrol (C2) sunucusundan alır. Bunlar, aşağıdakiler de dahil olmak üzere düzinelerce özelliği etkinleştirmek için Windows’u ve özel Yürütücü API’lerini kullanır: yürütülebilir dosyaların yüklenmesi, dosya işlemleri, belirteç kimliğine bürünme, şifreleme ve karma. Bu yaklaşım, tehdit aktörlerinin saldırıları özelleştirmek için ihtiyaç duyulan sayıda modül oluşturabileceği anlamına geliyor.
Buna ek olarak arka kapı, sistem süreçlerinin sürekli izlenmesi ve rastgele ağ modellerinin uygulanması gibi tespit edilmeyi önleyici mekanizmalar kullanır.
Dokuz modülden üçü (süreç oluşturucu, dosya okuyucu ve bilgi toplayıcı) ortaya çıkarıldı; bu da araştırmacıların Deadglyph’in yeteneklerinin tamamını hâlâ bilmediğini gösteriyor. ESET ayrıca kötü amaçlı yazılımı yüklemek için kullanılabilecek bir kabuk kodu indiricisi de keşfetti.
Geçmişte, Stealth Falcon’un (aka Fruity Armor veya Project Raven) Orta Doğu’daki siyasi aktivistleri, muhalifleri ve gazetecileri hedef aldığı biliniyordu. ESET’e göre bu son saldırı Anadolu ve Arap yarımadalarında meydana geldi. Firma ayrıca kötü amaçlı yazılımın ikinci bir örneğinin Katar’dan Virus Total’e yüklendiğini de belirtti.