Stealthy Zardoor Backdoor: Στοχεύει Σαουδικές Ισλαμικές Φιλανθρωπικές Οργανώσεις

Η εταιρεία Cisco Talos ανακοίνωσε τον εντοπισμό μιας μυστικής εκστρατείας κατασκοπείας, η οποία επηρέασε μια ανώνυμη ισλαμική μη κερδοσκοπική οργάνωση στη Σαουδική Αραβία, γνωστή ως “Zardoor”.

Η εκστρατεία φαίνεται να ξεκίνησε τον Μάρτιο του 2021 και συνεχίζεται, με μόνο έναν γνωστό στόχο που έχει παραβιαστεί μέχρι σήμερα, ωστόσο, υπάρχει υποψία για περισσότερα θύματα. Οι δράστες χρησιμοποίησαν διάφορα εργαλεία και τεχνικές, όπως τα living-off-the-land δυαδικά αρχεία (LoLBins) και το Windows Management Instrumentation (WMI), για να δημιουργήσουν κερκόπορτες, εντολές και έλεγχο (C2) και να διατηρήσουν μακροπρόθεσμη πρόσβαση στα περιβάλλοντα των θυμάτων.

Διαβάστε επίσης: Κράτη και εταιρείες τεχνολογίας συνεργάζονται για την καταπολέμηση του spyware

Η επίθεση περιλάμβανε τακτικές διείσδυσης δεδομένων περίπου δύο φορές το μήνα, ενώ η πρόσβαση στον στόχο επιτυγχανόταν μέσω αντίστροφων διακομιστών μεσολάβησης ανοιχτού κώδικα. Η χάκινγκ ομάδα ακολουθούσε κινήσεις και εκτελούσε εντολές του C2, επιτυγχάνοντας την εξάπλωση των εργαλείων τους, συμπεριλαμβανομένου του Zardoor, στον στόχο του συστήματος.

Η προέλευση της μόλυνσης παραμένει ακόμη αδιευκρίνιστη, ανοίγοντας τον δρόμο για ένα dropper που δημιουργεί μια κακόβουλη βιβλιοθήκη δυναμικής σύνδεσης (“oci.dll”). Αυτή η βιβλιοθήκη είναι υπεύθυνη για την παράδοση backdoor, του “zar32.dll” και του “zor32.dll”.

Παρόλο που το πρώτο backdoor αποτελεί τη βασική πύλη επικοινωνίας C2, το δεύτερο διασφαλίζει ότι το αρχείο “zar32.dll” έχει αναπτυχθεί με δικαιώματα διαχειριστή. Το Zardoor επιτρέπει την εκμετάλλευση δεδομένων, την εκτέλεση αρχείων και shellcode (κώδικας που χρησιμοποιείται ως ωφέλιμο φορτίο για την εκμετάλλευση μιας ευπάθειας) που έχουν ληφθεί από απόσταση, την ενημέρωση της IP διεύθυνσης C2 και τη δυνατότητα διαγραφής από τον κεντρικό υπολογιστή.

Η πηγή του απειλητικού παράγοντα που κρύβεται πίσω από αυτή την εκστρατεία είναι ασαφής και δεν συμπίπτει με κανέναν γνωστό παράγοντα απειλής που έχει αναφερθεί δημόσια ως τώρα. Παρ’ όλα αυτά, πιστεύεται ότι οφείλεται σε έναν “προηγμένο παράγοντα απειλής”.

Δείτε περισσότερα: Νομίζετε ότι κάποιος κατασκοπεύει τον υπολογιστή σας;

Πηγή: thehackernews.com