FadeStealer

تمت ملاحظة مجموعة القرصنة APT37 التي يشار إليها أيضًا باسم StarCruft أو Reaper أو RedEyes ، مؤخرًا باستخدام برنامج ضار لسرقة المعلومات تم اكتشافه حديثًا يسمى FadeStealer. يشتمل هذا البرنامج الضار المتطور على إمكانية "التنصت على المكالمات الهاتفية" ، مما يمكّن الجهات المهددة من اعتراض وتسجيل الصوت من ميكروفونات الضحايا سراً.

يُعتقد على نطاق واسع أن APT37 هي مجموعة قرصنة ترعاها الدولة ولها سجل حافل في إجراء عمليات تجسس إلكتروني تتماشى مع مصالح كوريا الشمالية. وشملت أهدافهم المنشقين الكوريين الشماليين والمؤسسات التعليمية والمنظمات الموجودة في الاتحاد الأوروبي.

في الحملات السابقة ، استخدمت هذه المجموعة برامج ضارة مخصصة مثل "Dolphin" و " M2RAT " لتنفيذ هجماتهم الإلكترونية. تم تصميم أدوات التهديد هذه خصيصًا للتسلل إلى أجهزة Windows ، بما في ذلك الهواتف المحمولة المتصلة ، وتسهيل العديد من الأنشطة الضارة مثل تنفيذ الأوامر ، وسرقة البيانات ، وجمع بيانات الاعتماد ، والتقاط لقطات الشاشة.

برنامج ضار مخصص مستتر يسلم تهديد FadeStealer

كشف باحثو الأمن مؤخرًا عن تفاصيل حول برنامج ضار مخصص آخر يستخدم في هجمات APT37 ، والمعروف باسم AblyGo backdoor. إلى جانب FadeStealer ، تم تصميم هذه الأدوات غير المرغوب فيها لاختراق الأنظمة المستهدفة وتسهيل الأنشطة الضارة المختلفة.

تتضمن طريقة التسليم الأولية لهذا البرنامج الضار رسائل التصيد الاحتيالي التي تحتوي على أرشيفات مرفقة. تتكون هذه الأرشيفات من مستندات Word و Hangul Word Processor المحمية بكلمة مرور (ملفات .docx و. hwp) ، إلى جانب ملف Windows CHM "password.chm". من المحتمل جدًا أن رسائل البريد الإلكتروني المخادعة توجه المستلمين لفتح ملف CHM للحصول على كلمة المرور المطلوبة لإلغاء تأمين المستندات. ومع ذلك ، دون علم الضحايا ، يؤدي هذا الإجراء إلى بدء عملية الإصابة على أجهزة Windows الخاصة بهم.

عند فتح ملف CHM ، ستعرض مطالبة خادعة كلمة المرور المزعومة لإلغاء قفل المستندات. في الوقت نفسه ، يقوم الملف بتنزيل وتنفيذ برنامج PowerShell النصي عن بُعد ، والذي يعمل بمثابة باب خلفي بوظائف متقدمة. ينشئ هذا الباب الخلفي PowerShell الاتصال مع خوادم الأوامر والتحكم (C2) للمهاجمين ، مما يمكنهم من تنفيذ الأوامر على النظام المخترق عن بُعد.

علاوة على ذلك ، يسهل الباب الخلفي نشر باب خلفي إضافي يُعرف باسم "باب خلفي AblyGo" خلال المراحل اللاحقة من الهجوم. يستفيد هذا الباب الخلفي الجديد من Ably Platform ، وهي خدمة API يستخدمها المطورون لدمج ميزات الوقت الفعلي وتسليم المعلومات في تطبيقاتهم. من خلال استخدام Ably Platform كنظام أساسي C2 ، يمكن لممثلي التهديد إرسال أوامر base64 المشفرة إلى الباب الخلفي للتنفيذ واستلام المخرجات. يسمح هذا النهج لهم بالتعتيم على أنشطتهم الخبيثة داخل حركة مرور الشبكة المشروعة ، مما يجعل اكتشاف عملياتهم ومراقبتها أكثر صعوبة.

يلعب "AblyGo backdoor" دورًا مهمًا في حملة التجسس السيبراني ، مما يمكّن الجهات الفاعلة في التهديد من تصعيد الامتيازات ، وتسلل البيانات الحساسة ، وتقديم مكونات برامج ضارة إضافية. من خلال استخدام منصات مشروعة مثل Ably ، تهدف الجهات الفاعلة في التهديد إلى التهرب من مراقبة الشبكة وبرامج الأمان ، وبالتالي زيادة فعالية هجماتهم.

القدرات المهددة الموجودة في تهديد FadeStealer

توفر الأبواب الخلفية في النهاية FadeStealer كحمولة نهائية. التهديد عبارة عن برنامج ضار شديد الفعالية لسرقة المعلومات مصمم خصيصًا لأجهزة Windows. بمجرد التثبيت ، يستخدم FadeStealer تقنية تسمى DLL sideloading لحقن نفسها في عملية "ieinstall.exe" المشروعة من Internet Explorer ، وتمويه وجوده بشكل فعال.

يعمل FadeStealer خلسة في الخلفية ، ويحصد بشكل سري مجموعة واسعة من المعلومات الحساسة من الجهاز المخترق. على فترات منتظمة من 30 دقيقة ، يلتقط البرنامج الضار لقطات شاشة لشاشة الضحية ، ويسجل ضغطات المفاتيح المسجلة ، ويجمع الملفات من أي هواتف ذكية متصلة أو أجهزة قابلة للإزالة. علاوة على ذلك ، يمتلك FadeStealer القدرة على تسجيل الصوت من خلال ميكروفون الجهاز ، مما يسمح لممثلي التهديد وراء الهجوم بالتنصت على المحادثات وجمع معلومات استخباراتية إضافية.

يتم تخزين البيانات التي تم جمعها في مجلدات٪ Temp٪ محددة ، كل منها يخدم غرضًا مميزًا في عملية استخراج البيانات. يتم تخزين لقطات الشاشة التي تم التقاطها بواسطة البرامج الضارة في المجلد٪ temp٪ \ VSTelems_Fade \ NgenPdbc ، بينما يتم تخزين ضغطات المفاتيح المسجلة في٪ temp٪ \ VSTelems_Fade \ NgenPdbk. تم تخصيص المجلد٪ temp٪ \ VSTelems_Fade \ NgenPdbm لتخزين البيانات التي تم الحصول عليها من خلال التنصت على الميكروفون. بالإضافة إلى ذلك ، يتم استخدام المجلد٪ temp٪ \ VSTelems_FadeIn لجمع البيانات من الهواتف الذكية المتصلة ، بينما يعمل المجلد٪ temp٪ \ VSTelems_FadeOut كموقع تخزين للبيانات التي تم جمعها من أجهزة الوسائط القابلة للإزالة. تضمن هذه المجلدات المحددة تنظيم البيانات التي تم جمعها وإمكانية الوصول إليها من قبل الجهات الفاعلة في التهديد التي تنظم حملة التجسس الإلكتروني.

للحفاظ على الكفاءة وتسهيل تخزين البيانات ، يجمع FadeStealer المعلومات المسروقة في ملفات أرشيف RAR. يتيح ذلك للبرامج الضارة ضغط البيانات المسروقة وتنظيمها ، مما يضمن بقاءها مخفية وقابلة للنقل بسهولة للتسلل اللاحق من قبل الجهات المهددة.