Stealth Falcon, группа злоумышленников, действующая с 2012 года, которая атакует политических активистов и журналистов на Ближнем Востоке. Некоторые аналитики связывают ее с Project Raven, инициативой, в которой якобы задействованы бывшие сотрудники АНБ. Подробную информацию можно найти по этой ссылке.
Ограниченная техническая информация о Stealth Falcon уже была обнародована, включая анализ ключевого компонента этой вредоносной программы – бэкдора на основе PowerShell, доставляемого с помощью использующегося в качестве оружия документа, включаемого во вредоносное электронное письмо.
Исследователи компании ESET обнаружили ранее незарегистрированный бэкдор исполняемого файла под названием Win32/StealthFalcon. Они наблюдали несколько атак с помощью этой вредоносной программы в ОАЭ, Саудовской Аравии, Таиланде и Нидерландах; в последнем случае целью была дипломатическая миссия одной из ближневосточных стран.
Исследование ESET выявило сходство между недавно обнаруженным исполняемым бэкдором и сценарием PowerShell с возможностями бэкдора, ранее связывавшимися с группой Stealth Falcon. Исследователи ESET считают, что это сходство является убедительным доказательством того, что оба бэкдора являются работой одной и той же группы.
Win32/StealthFalcon использует довольно необычную технику для связи со своим командным сервером – стандартный компонент Windows Background Intelligent Transfer Service (BITS).
По сравнению с традиционной связью через функции API, механизм BITS предоставляется через интерфейс COM и, следовательно, его труднее обнаружить. Кроме того, эта конструкция надежна и скрытна, благодаря чему выше вероятность, что брандмауэр хоста ее пропустит.
В дополнение к своей необычной связи с командным сервером Win32/StealthFalcon использует несколько передовых методов, которые предотвращают его обнаружение/анализ, обеспечивают его живучесть и усложняют его ретроспективный анализ.
Дополнительную информацию можно найти в блоге «ESET обнаружил незадокументированный бэкдор, используемый печально известной группой Stealth Falcon» на WeLiveSecurity.com. Чтобы узнать последние новости об исследованиях компании ESET, обязательно следите за Исследованиями ESET в Twitter.
Источник: Welivesecurity
