ESET Research : Stealth Falcon, lié aux Émirats Arabes Unis, espionne ses voisins avec une nouvelle porte dérobée
Publié le 25/09/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● ESET Research a découvert une porte dérobée sophistiquée, Deadglyph, dotée d'une architecture inhabituelle.
● ESET attribue le maliciel au groupe Stealth Falcon, qui, selon MITRE, est lié aux Émirats Arabes Unis (EAU).
● La victime est une entité gouvernementale du Moyen-Orient, qui a été compromise à des fins d'espionnage. Un échantillon connexe trouvé sur VirusTotal a également été téléchargé sur la plate-forme d'analyse de fichiers de cette région et en particulier du Qatar.
● Les commandes de porte dérobée traditionnelles sont mises en place via des modules supplémentaires reçus de son serveur de commande et de contrôle (C&C).
● ESET a réussi à obtenir trois modules parmi les nombreux utilisés: le créateur de processus, le lecteur de fichiers et le collecteur d'informations.
BRATISLAVA — Le 25 septembre 2023 — Les chercheurs d'ESET ont découvert et analysé une porte dérobée sophistiquée, du nom de Deadglyph, utilisée par le groupe Stealth Falcon. Selon MITRE, l'organisation américaine de sécurité à but non lucratif, le groupe serait lié aux EAU. Deadglyph a une architecture inhabituelle. Ses capacités de porte dérobée sont fournies par son C&C sous la forme de modules supplémentaires. Deadglyph dispose d'une variété de mécanismes de contre-détection et, dans certains cas, elle est capable de se désinstaller pour réduire ses chances d’être détectée. ESET l’a découverte au cours d'une surveillance de routine d’activités suspectes sur les systèmes de clients importants dont certains sont basés au Moyen-Orient. La victime de l'infiltration analysée est une entité gouvernementale du Moyen-Orient, compromise à des fins d'espionnage. Un échantillon connexe, trouvé sur VirusTotal, a été téléchargé à partir du Qatar.
Cette porte dérobée encore non documentée, présente un haut degré de sophistication et d’expertise. Les commandes traditionnelles de porte dérobée ne sont pas implémentées dans le binaire de cette porte-ci; elles sont reçues de manière dynamique depuis le serveur C&C sous forme de modules supplémentaires. Cette porte dérobée présente aussi un certain nombre de fonctionnalités pour ne pas être détectée, dont la surveillance continue des processus système et la mise en œuvre de modèles de réseau aléatoires.
ESET Research a réussi à obtenir trois de ces modules, révélant une fraction de toutes les capacités de Deadglyph : le créateur de processus, le lecteur de fichiers et le collecteur d'informations. Le module collecteur d'informations collecte des informations détaillées sur l'ordinateur, notamment des détails du système d'exploitation, les logiciels et pilotes installés, les processus, les services, les utilisateurs et les logiciels de sécurité. De plus, le module de lecture de fichiers est capable de lire des fichiers spécifiés. Dans un cas précis, le module a été utilisé pour récupérer le fichier de données Outlook de la victime.
ESET Research a aussi trouvé un téléchargeur de shellcode associé, qui pourrait éventuellement être utilisé pour installer Deadglyph.
Sur base du ciblage et de preuves supplémentaires, ESET attribue Deadglyph, avec grande certitude, au groupe Stealth Falcon APT. Connu aussi sous le nom de Project Raven ou FruityArmor, ce groupe menaçant est lié, selon MITRE, aux Émirats Arabes Unis. Actif depuis 2012, Stealth Falcon est connu au Moyen-Orient pour cibler les militants politiques, les journalistes et les dissidents. Il a été découvert et décrit pour la première fois par Citizen Lab, qui, en 2016, a publié l’analyse d'une campagne d'attaques de logiciels espions.
Pour plus d'informations techniques sur Stealth Falcon et Deadglyph, consultez le blog “Stealth Falcon preying over Middle Eastern skies with Deadglyph” sur WeLiveSecurity. Suivez aussi ESET Research sur Twitter (maintenant connu sous le nom de X) pour ses dernières nouvelles.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
● ESET attribue le maliciel au groupe Stealth Falcon, qui, selon MITRE, est lié aux Émirats Arabes Unis (EAU).
● La victime est une entité gouvernementale du Moyen-Orient, qui a été compromise à des fins d'espionnage. Un échantillon connexe trouvé sur VirusTotal a également été téléchargé sur la plate-forme d'analyse de fichiers de cette région et en particulier du Qatar.
● Les commandes de porte dérobée traditionnelles sont mises en place via des modules supplémentaires reçus de son serveur de commande et de contrôle (C&C).
● ESET a réussi à obtenir trois modules parmi les nombreux utilisés: le créateur de processus, le lecteur de fichiers et le collecteur d'informations.
BRATISLAVA — Le 25 septembre 2023 — Les chercheurs d'ESET ont découvert et analysé une porte dérobée sophistiquée, du nom de Deadglyph, utilisée par le groupe Stealth Falcon. Selon MITRE, l'organisation américaine de sécurité à but non lucratif, le groupe serait lié aux EAU. Deadglyph a une architecture inhabituelle. Ses capacités de porte dérobée sont fournies par son C&C sous la forme de modules supplémentaires. Deadglyph dispose d'une variété de mécanismes de contre-détection et, dans certains cas, elle est capable de se désinstaller pour réduire ses chances d’être détectée. ESET l’a découverte au cours d'une surveillance de routine d’activités suspectes sur les systèmes de clients importants dont certains sont basés au Moyen-Orient. La victime de l'infiltration analysée est une entité gouvernementale du Moyen-Orient, compromise à des fins d'espionnage. Un échantillon connexe, trouvé sur VirusTotal, a été téléchargé à partir du Qatar.
Cette porte dérobée encore non documentée, présente un haut degré de sophistication et d’expertise. Les commandes traditionnelles de porte dérobée ne sont pas implémentées dans le binaire de cette porte-ci; elles sont reçues de manière dynamique depuis le serveur C&C sous forme de modules supplémentaires. Cette porte dérobée présente aussi un certain nombre de fonctionnalités pour ne pas être détectée, dont la surveillance continue des processus système et la mise en œuvre de modèles de réseau aléatoires.
ESET Research a réussi à obtenir trois de ces modules, révélant une fraction de toutes les capacités de Deadglyph : le créateur de processus, le lecteur de fichiers et le collecteur d'informations. Le module collecteur d'informations collecte des informations détaillées sur l'ordinateur, notamment des détails du système d'exploitation, les logiciels et pilotes installés, les processus, les services, les utilisateurs et les logiciels de sécurité. De plus, le module de lecture de fichiers est capable de lire des fichiers spécifiés. Dans un cas précis, le module a été utilisé pour récupérer le fichier de données Outlook de la victime.
ESET Research a aussi trouvé un téléchargeur de shellcode associé, qui pourrait éventuellement être utilisé pour installer Deadglyph.
Sur base du ciblage et de preuves supplémentaires, ESET attribue Deadglyph, avec grande certitude, au groupe Stealth Falcon APT. Connu aussi sous le nom de Project Raven ou FruityArmor, ce groupe menaçant est lié, selon MITRE, aux Émirats Arabes Unis. Actif depuis 2012, Stealth Falcon est connu au Moyen-Orient pour cibler les militants politiques, les journalistes et les dissidents. Il a été découvert et décrit pour la première fois par Citizen Lab, qui, en 2016, a publié l’analyse d'une campagne d'attaques de logiciels espions.
Pour plus d'informations techniques sur Stealth Falcon et Deadglyph, consultez le blog “Stealth Falcon preying over Middle Eastern skies with Deadglyph” sur WeLiveSecurity. Suivez aussi ESET Research sur Twitter (maintenant connu sous le nom de X) pour ses dernières nouvelles.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/