Business
Trending
De beste e-bikes Telenet verhoogt prijzen Windows 10-account Goedkoper laden bij Tesla Windows 12 naar 2025 TechPulse op WhatsApp
  1. Home
  3. Wire
  5. ESET Research: aan de VAE gelinkte Stealth Falcon spioneert met nieuwe backdoor
Wire
Onze partner

ESET Research: aan de VAE gelinkte Stealth Falcon spioneert met nieuwe backdoor

ESET logo
© ESET
ESET Research ontdekte Deadglyph, een geavanceerde backdoor, met een ongebruikelijke architectuur.

ESET-onderzoekers hebben een geavanceerde backdoor ontdekt en geanalyseerd, Deadglyph genoemd, gebruikt door de Stealth Falcon-groep. Volgens MITRE, de Amerikaanse non-profit veiligheidsorganisatie, is de groep gelinkt aan de Verenigde Arabische Emiraten. Deadglyph heeft een ongebruikelijke architectuur en de backdoor-mogelijkheden worden door C&C in de vorm van extra modules geleverd. Deadglyph beschikt over een reeks mechanismen voor tegendetectie en, in bepaalde gevallen, kan zich verwijderen om de kans op detectie te beperken. ESET deed de ontdekking tijdens een routine monitoring van verdachte activiteiten op de systemen van vooraanstaande klanten, waarvan sommige gevestigd zijn in het Midden-Oosten. Het slachtoffer van de geanalyseerde infiltratie is een overheidsinstantie in het Midden-Oosten die gecompromitteerd werd voor spionagedoeleinden. Een gerelateerd voorbeeld, gevonden op VirusTotal, werd vanuit Qatar geüpload.

Deze nog niet gedocumenteerde backdoor beschikt over een opmerkelijke dosis verfijning en expertise. De traditionele backdoor-opdrachten zijn niet geïmplementeerd in het binaire backdoor-bestand; ze worden dynamisch van de C&C-server ontvangen als aanvullende modules. Deze backdoor beschikt ook over een aantal mogelijkheden om detectie te voorkomen, zoals continue monitoring van systeemprocessen en de implementatie van willekeurige netwerkpatronen.

ESET Research slaagde erin drie van deze modules te verkrijgen, zodat een fractie van al de mogelijkheden van Deadglyph blootgelegd werd: procesmaker, bestandslezer en informatiecollector. De infocollectormodule verzamelt uitgebreide informatie over de computer, inclusief details over het besturingssysteem, geïnstalleerde software en stuurprogramma’s, processen, services, gebruikers en beveiligingssoftware. Bovendien kan de module voor het lezen van bestanden ook specifieke bestanden lezen; in één geval werd de module gebruikt om het Outlook-gegevensbestand van het slachtoffer op te halen.

ESET Research heeft bovendien een gerelateerde shellcode-downloader gevonden die ook kan gebruikt worden om Deadglyph te installeren.

ESET schrijft Deadglyph met groot vertrouwen toe aan de Stealth Falcon APT-groep, op basis van de targeting en aanvullend bewijsmateriaal. Deze dreigingsgroep, ook gekend als Project Raven of FruityArmor, is volgens MITRE gelinkt aan de Verenigde Arabische Emiraten. Het is bekend dat Stealth Falcon, actief sinds 2012, zich richt op politieke activisten, journalisten en dissidenten in het Midden-Oosten. Het werd ontdekt en eerst beschreven door Citizen Lab, dat in 2016 een analyse van een campagne van spyware-aanvallen publiceerde.

Voor meer technische informatie over Stealth Falcon en Deadglyph, lees de blogpost “Stealth Falcon preying over Middle Eastern skies with Deadglyph” op WeLiveSecurity. Zorg ervoor dat u ESET Research volgt op Twitter (nu bekend als X) voor het laatste nieuws over ESET Research.

Victimologie van Deadglyph; gerelateerd voorbeeld geüpload naar VirusTotal vanuit Qatar (donkere kleur).

Deadglyph verspreiding
© ESET

Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.

TechPulse Onze Partner
Onze partner

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Trending berichten

Business