ESET 发布报告称，APT 组织 Stealth Falcon 在中东某政府实体的系统上部署了新后门，并将该后门命名为 “Deadglyph”。

该后门由原生的x64二进制和一个 .NET 汇编组成，前者用作执行器，后者用作协调器。该恶意软件以DLL的形式部署在该系统，滥用 WMI 事件订阅实现持久性。一旦执行，DLL就会加载、解密并执行存储在 Windows 注册表中的加密 shellcode，从而解密和运行 Deadglyph 的执行器组件。该组件用于加载配置并初始化 .NET 运行时以及加载嵌入式 .NET 代码（即协调器）。

Deadglyph 的 .NET 组件设立命令和控制通信并执行命令。它使用计时和网络模块定期以及随机与C&C 服务器进行通信，以阻止可检测到的模式。该C&C 服务器以任务的形式向该后门的组件发送命令。该协调器可用于修改网络和计时模块的配置，而执行器任务用于管理该后门并运行额外模块。

ESET 认为该执行器可捕获最多14个不同的用作后门命令的模块，而这些模块用作具有一个未命名导出的DLL。执行时，这些模块被提供可解析 Windows API 和自定义 Executor API 的API 解析函数。ESET 识别到与 Executor API 的39种函数，包括文件操作、加密和哈希、压缩、PE 加载、工具和访问令牌模拟。

其中一个模块负责收集关于操作系统、网络适配器、已安装应用、驱动、服务器、进程、用户、安全软件和环境变量的信息。ESET 在调查 Deadglyph 的过程中发现了以过期证书签名的 CPL 文件被上传到 VirusTotal 中，作为多阶段 shellcode 下载器，且与 Stealth Falcon 的后门代码之间存在相似之处。

Stealth Falcon 至少活跃于2012年，且被指与阿联酋相关，主要攻击记者、活动家以及异见人士。从类似的攻击目标和攻击活动入手，Amnesty International 在2019年认为该恶意软件就是 Project Raven，即之前被认为是 NSA 作战团队的组成部分。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~