新型网络间谍攻击

关键要点

新的网络间谍攻击由Stealth Falcon威胁行动组织也被称为FruityArmor发起，使用了一种新型复杂的Deadglyph恶意软件，The Hacker News的报道显示。在针对某中东政府机构的入侵中，攻击者利用了一种shellcode加载器，该加载器会触发shellcode，并交付被称为“Executor”的Deadglyph x64模块。随后，Executor会加载一个名为“Orchestrator”的NET组件，该组件会等待从其Windows后台智能传输服务Background Intelligent Transfer Service指挥控制服务器接收命令，ESET的报告指出。

Deadglyph不仅使用不同的编程语言以可能逃避检测，还被发现能够接受三类命令。其中，Executor任务使得额外模块的执行成为可能，Orchestrator任务则允许管理网络和定时器模块，而上传任务则允许命令和错误输出的上传。ESET表示：“Deadglyph具备多种反检测机制，包括对系统进程的持续监控和随机网络模式的实施。此外，该后门能够在特定情况下自行卸载，以降低被检测的可能性。”

模块功能描述Executor启用额外模块执行Orchestrator管理网络和定时器模块Upload允许命令和错误输出的上传

此次Deadglyph恶意软件的复杂性和多样性使其成为当前网络威胁中的重要角色，并且其反检测能力给安全防护带来了新的挑战。这要求相关组织不断加强网络安全防护，提高应对能力，防止此类攻击的发生。