新型网络间谍攻击

关键要点

• Stealth Falcon（又名FruityArmor）发起了新的网络间谍攻击。
• 采用了一种复杂的新型恶意软件Deadglyph。
• 针对中东某政府组织的入侵中，使用了shellcode加载器。
• Deadglyph的功能模块包括Executor和Orchestrator，具备多种反检测机制。

新的网络间谍攻击由Stealth Falcon威胁行动组织（也被称为FruityArmor）发起，使用了一种新型复杂的Deadglyph恶意软件，的报道显示。在针对某中东政府机构的入侵中，攻击者利用了一种shellcode加载器，该加载器会触发shellcode，并交付被称为“Executor”的Deadglyphx64模块。随后，Executor会加载一个名为“Orchestrator”的.NET组件，该组件会等待从其Windows后台智能传输服务（BackgroundIntelligent Transfer Service）指挥控制服务器接收命令，ESET的报告指出。

Deadglyph不仅使用不同的编程语言以可能逃避检测，还被发现能够接受三类命令。其中，Executor任务使得额外模块的执行成为可能，Orchestrator任务则允许管理网络和定时器模块，而上传任务则允许命令和错误输出的上传。ESET表示：“Deadglyph具备多种反检测机制，包括对系统进程的持续监控和随机网络模式的实施。此外，该后门能够在特定情况下自行卸载，以降低被检测的可能性。”

此次Deadglyph恶意软件的复杂性和多样性使其成为当前网络威胁中的重要角色，并且其反检测能力给安全防护带来了新的挑战。这要求相关组织不断加强网络安全防护，提高应对能力，防止此类攻击的发生。