FadeStealer

Хакерската група APT37, наричана още StarCruft, Reaper или RedEyes, наскоро беше наблюдавана да използва новооткрит зловреден софтуер за кражба на информация, наречен FadeStealer. Този усъвършенстван злонамерен софтуер включва възможност за „подслушване“, което позволява на участниците в заплахата да прихващат и записват тайно аудио от микрофоните на жертвите.

Широко разпространено е мнението, че APT37 е спонсорирана от държавата хакерска група със значителен опит в провеждането на операции за кибершпионаж, съобразени с интересите на Северна Корея. Техните цели включват севернокорейски дезертьори, образователни институции и организации, базирани в Европейския съюз.

В предишни кампании тази група е използвала специално създаден злонамерен софтуер като „Dolphin“ и „ M2RAT “, за да извърши своите кибератаки. Тези заплашителни инструменти са специално проектирани да проникнат в устройства с Windows, включително свързани мобилни телефони, и да улеснят различни злонамерени дейности като изпълнение на команди, кражба на данни, събиране на идентификационни данни и заснемане на екранни снимки.

Персонализиран злонамерен софтуер за задната вратичка доставя заплахата FadeStealer

Изследователите по сигурността наскоро разкриха подробности за друг потребителски злонамерен софтуер, използван при атаки от APT37, известен като задната вратичка AblyGo. Заедно с FadeStealer, тези нежелани инструменти са предназначени да проникнат в целеви системи и да улеснят различни вредни дейности.

Първоначалният метод на доставка на този зловреден софтуер включва фишинг имейли, които съдържат прикачени архиви. Тези архиви се състоят от защитени с парола документи на Word и Hangul Word Processor (.docx и .hwp файлове), заедно с 'password.chm' Windows CHM файл. Много е вероятно фишинг имейлите да инструктират получателите да отворят CHM файла, за да получат паролата, необходима за отключване на документите. Въпреки това, без знанието на жертвите, това действие задейства процеса на заразяване на техните Windows устройства.

При отваряне на CHM файла, измамна подкана ще покаже предполагаемата парола за отключване на документите. Едновременно с това файлът дискретно изтегля и изпълнява отдалечен PowerShell скрипт, който служи като задна врата с разширена функционалност. Тази задна врата на PowerShell установява комуникация със сървърите за командване и управление (C2) на нападателите, което им позволява да изпълняват команди на компрометираната система от разстояние.

Освен това задната врата улеснява разполагането на допълнителна задна врата, известна като „задна врата AblyGo“ по време на по-късните етапи на атаката. Тази нова задна вратичка използва платформата Ably, API услуга, която разработчиците използват, за да включат функции в реално време и доставка на информация в своите приложения. Чрез използването на платформата Ably като платформа C2, участниците в заплахата могат да изпращат команди, кодирани с base64, до задната врата за изпълнение и да получават изхода. Този подход им позволява да прикриват своите злонамерени дейности в законния мрежов трафик, което прави по-трудно откриването и наблюдението на техните операции.

„Задната врата на AblyGo“ играе решаваща роля в кампанията за кибер шпионаж, позволявайки на участниците в заплахата да извършват ескалация на привилегии, да ексфилтрират чувствителни данни и да доставят допълнителни компоненти на зловреден софтуер. Чрез използването на легитимни платформи като Ably, участниците в заплахата се стремят да избегнат софтуера за наблюдение и сигурност на мрежата, като по този начин повишават ефективността на своите атаки.

Заплашващите способности, открити в заплахата FadeStealer

Задните врати в крайна сметка доставят FadeStealer като последен полезен товар. Заплахата е изключително мощен злонамерен софтуер за кражба на информация, създаден специално за устройства с Windows. Веднъж инсталиран, FadeStealer използва техника, наречена странично зареждане на DLL, за да се инжектира в законния процес „ieinstall.exe“ на Internet Explorer, като ефективно камуфлира присъствието му.

FadeStealer работи скрито във фонов режим, като дискретно събира широка гама от чувствителна информация от компрометираното устройство. На редовни интервали от 30 минути зловредният софтуер заснема екранни снимки на екрана на жертвата, записва записани натискания на клавиши и събира файлове от всички свързани смартфони или преносими устройства. Освен това FadeStealer притежава способността да записва аудио през микрофона на устройството, което позволява на участниците в заплахата зад атаката да подслушват разговори и да събират допълнителна информация.

Събраните данни се съхраняват в специфични %Temp% папки, всяка от които служи за отделна цел в рамките на процеса на ексфилтриране на данни. Екранните снимки, направени от злонамерения софтуер, се съхраняват в папката %temp%\VSTelems_Fade\NgenPdbc, докато регистрираните натискания на клавиши се съхраняват в %temp%\VSTelems_Fade\NgenPdbk. Папката %temp%\VSTelems_Fade\NgenPdbm е предназначена за съхраняване на данни, получени чрез подслушване на микрофон. Освен това папката %temp%\VSTelems_FadeIn се използва за събиране на данни от свързани смартфони, докато папката %temp%\VSTelems_FadeOut служи като място за съхранение на данни, събрани от преносими медийни устройства. Тези специфични папки гарантират, че събраните данни са организирани и достъпни за участниците в заплахите, организиращи кампанията за кибершпионаж.

За да поддържа ефективност и да улесни съхранението на данни, FadeStealer събира открадната информация в RAR архивни файлове. Това позволява на злонамерения софтуер да компресира и организира откраднатите данни, като гарантира, че те остават скрити и лесно преносими за последващо ексфилтриране от участниците в заплахата.