StealthServer: новый кроссплатформенный бэкдор из Южной Азии

Методы проникновения и маскировки

Первые образцы StealthServer были обнаружены в начале июля, причем атаки продолжают развиваться по нарастающей. Злоумышленники используют изощренные методы социальной инженерии, маскируя вредоносные файлы под документы, связанные с совещаниями, закупками и другими деловыми темами. Характерные примеры включают файлы с именами "Meeting_Ltr_ID1543ops.pdf.desktop" и "PROCUREMENT_OF_MANPORTABLE_&_COMPAC.pdf.desktop".

При запуске эти файлы действительно открывают PDF-документы через браузер Firefox, что создает видимость легитимной активности. Однако параллельно в фоновом режиме запускается основной вредоносный модуль. Содержание отображаемых документов обычно касается политических, военных или деловых тем, что соответствует интересам целевых организаций в регионе Южной Азии.

Технические особенности StealthServer

Ядро бэкдора написано на языке Golang, что обеспечивает его кроссплатформенность. Название "StealthServer" происходит от ответа сервера при установлении соединения: {"service":"stealth-server","status":"ok"}.

Основной функционал включает две ключевые возможности: кражу файлов с компьютеров жертв и выполнение произвольных команд, получаемых от сервера управления (C2 - Command and Control). Особенностью StealthServer является активное использование различных протоколов связи - исследователи идентифицировали три версии для Windows (две использующие TCP-сокеты и одну на WebSocket) и две для Linux (HTTP и WebSocket).

Методы противодействия анализу

Наиболее заметной особенностью StealthServer стало активное использование методов обфускации. Программа содержит значительное количество мусорного кода и бесполезных функций, что существенно замедляет процесс обратной разработки. Некоторые версии дополнительно используют технику обращения к легитимным доменам, таким как "google.com" и "microsoft.com", что затрудняет анализ сетевого трафика.

В Windows-версиях реализованы сложные механизмы антиотладки, включая проверки на наличие процессов, связанных с виртуальными машинами и песочницами, обнаружение отладчиков через IsDebuggerPresent() и PEBDebugFlag, а также проверки специфических каталогов и имен пользователей, характерных для аналитических сред.

Механизмы персистентности

В Windows-средах бэкдор использует многократное дублирование механизмов автозапуска: копирование в каталог %APPData% с установкой скрытых атрибутов, добавление в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, создание ярлыков в папке автозагрузки и регистрация системной службы через sc create.

В Linux-средах персистентность достигается созданием systemd-сервисов в пользовательских каталогах, модификацией файлов ~/.bashrc и ~/.profile, а также добавлением заданий в crontab с параметром @reboot.

Сетевое взаимодействие и функциональность

Протоколы связи варьируются между версиями, но все они используют JSON-формат для обмена данными. Базовый функционал включает команды LIST (получение списка файлов), UPLOAD (выгрузка файлов) и DOWNLOAD (загрузка файлов). В Linux-версиях дополнительно реализована возможность выполнения произвольных bash-команд.

Для кражи файлов бэкдор рекурсивно сканирует файловую систему от корневого каталога, отыскивая файлы с расширениями .pdf, .doc, .xls, .ppt, .txt, .zip и .rar. Перехваченные файлы шифруются с использованием AES-GCM перед отправкой на серверы управления.

Инфраструктура и связь с APT36

Анализ инфраструктуры показывает использование доменов, имитирующих официальные правительственные ресурсы, таких как "modindia[.]serveminecraft.net", "modgovindia[.]space" и "kavach[.]space". Эти домены демонстрируют структурное сходство с известными ресурсами APT36, включая использование одинаковых TLD (.support, .link) и общих IP-адресов.

Сходство методов доставки (использование .desktop файлов для Linux, тематика фишинговых документов) также соответствует историческим образцам активности этой группировки. Разработчики оставили следы в виде путей компиляции, содержащих "bossmaya", что наблюдается в образцах для обеих платформ.

IPv4

• 101.99.94.109
• 161.97.82.97
• 164.215.103.55
• 45.141.58.199
• 45.155.53.179
• 45.155.53.204
• 45.155.54.122
• 45.155.54.28
• 45.155.54.62
• 5.178.0.29

Domains

• cloudstore.cam
• discoverlive.site
• kavach.space
• modgovindia.space
• modindia.serveminecraft.net
• seeconnectionalive.website
• seemysitelive.store
• sinjita.space
• sinjita.store
• solarwindturbine.site
• windturbine.website
• zahcomputers.pk.modpersonnel.support

SHA256

• 10b54abba525686869c9da223250f70270a742b1a056424c943cfc438c40cc50
• 264d88624ec527458d4734eff6f1e534fcacb77e5616ae61abed94a941389232
• 499f16ed2def90b3d4c0de5ca22d8c8080c26a1a405b4078e262a0a34bcb1e31
• 56260e90bba2c50af7c6d82e8656224ece23445f1d76e87a97c938ad9883005f
• 6347f46d77a47b90789a1209b8f573b2529a6084f858a27d977bf23ee8a79113
• 662890bb5baba4a7a9ba718bdedd6991fbf9867c83e676172f5527617e05cafa
• 7a946339439eb678316a124b8d700b21de919c81ee5bef33e8cb848b7183927b
• 8f8da8861c368e74b9b5c1c59e64ef00690c5eff4a95e1b4fcf386973895bef1
• ab85924ba95692995ac622172ed7f2ebc1997450d86f5245b03491422be2f3d6
• cf39bb998db59d3db92114d2235770a4a6c9cbf6354462cfedd1df09e60fe007
• dc64c34ba92375f8dc8ae8cf90a1f535a0aa5a29fcf965af5ad4982cd16e9d71
• ece1620e218f2c8b68312c874697c183f400c72a42855d885fc00865e0ccc1a1