新的网络间谍攻击由Stealth Falcon威胁行动组织也被称为FruityArmor发起,使用了一种新型复杂的Deadglyph恶意软件,The Hacker News的报道显示。在针对某中东政府机构的入侵中,攻击者利用了一种shellcode加载器,该加载器会触发shellcode,并交付被称为“Executor”的Deadglyph x64模块。随后,Executor会加载一个名为“Orchestrator”的NET组件,该组件会等待从其Windows后台智能传输服务Background Intelligent Transfer Service指挥控制服务器接收命令,ESET的报告指出。
白鲸VPNDeadglyph不仅使用不同的编程语言以可能逃避检测,还被发现能够接受三类命令。其中,Executor任务使得额外模块的执行成为可能,Orchestrator任务则允许管理网络和定时器模块,而上传任务则允许命令和错误输出的上传。ESET表示:“Deadglyph具备多种反检测机制,包括对系统进程的持续监控和随机网络模式的实施。此外,该后门能够在特定情况下自行卸载,以降低被检测的可能性。”
此次Deadglyph恶意软件的复杂性和多样性使其成为当前网络威胁中的重要角色,并且其反检测能力给安全防护带来了新的挑战。这要求相关组织不断加强网络安全防护,提高应对能力,防止此类攻击的发生。
模块功能描述Executor启用额外模块执行Orchestrator管理网络和定时器模块Upload允许命令和错误输出的上传
