Multilicenční slevy
Threat Database Advanced Persistent Threat (APT) FadeStealer

FadeStealer

V roce Mezo v roce Advanced Persistent Threat (APT), Backdoors, Malware, Stealers
Přeložit do:
Čeština

Hackerská skupina APT37 označovaná také jako StarCruft, Reaper nebo RedEyes byla nedávno pozorována pomocí nově objeveného malwaru kradoucího informace s názvem FadeStealer. Tento sofistikovaný malware obsahuje schopnost „odposlechu“, která umožňuje aktérům hrozby tajně zachytit a nahrávat zvuk z mikrofonů obětí.

APT37 je široce považován za státem podporovanou hackerskou skupinu s významnými výsledky v provádění kyberšpionážních operací v souladu se zájmy Severní Koreje. Mezi jejich cíle patřili severokorejští přeběhlíci, vzdělávací instituce a organizace sídlící v Evropské unii.

V předchozích kampaních tato skupina používala k provádění svých kybernetických útoků malware na míru, jako je 'Dolphin' a ' M2RAT '. Tyto ohrožující nástroje byly speciálně navrženy tak, aby infiltrovaly zařízení se systémem Windows, včetně připojených mobilních telefonů, a usnadňovaly různé škodlivé činnosti, jako je provádění příkazů, krádeže dat, získávání pověření a pořizování snímků obrazovky.

Vlastní malware Backdoor přináší hrozbu FadeStealer

Bezpečnostní výzkumníci nedávno odhalili podrobnosti o dalším vlastním malwaru používaném při útocích APT37, známém jako backdoor AblyGo. Spolu s FadeStealer jsou tyto nežádoucí nástroje navrženy tak, aby infiltrovaly cílené systémy a usnadňovaly různé škodlivé činnosti.

Počáteční způsob doručení tohoto malwaru zahrnuje phishingové e-maily, které obsahují připojené archivy. Tyto archivy se skládají z dokumentů Word a Hangul textových procesorů chráněných heslem (soubory .docx a .hwp) spolu se souborem CHM systému Windows „password.chm“. Je vysoce pravděpodobné, že phishingové e-maily instruují příjemce, aby otevřeli soubor CHM, aby získali heslo potřebné k odemknutí dokumentů. Aniž by to však oběti tušily, tato akce spustí proces infekce na jejich zařízeních se systémem Windows.

Po otevření souboru CHM se zobrazí klamavá výzva, která zobrazí údajné heslo k odemknutí dokumentů. Současně se soubor diskrétně stáhne a spustí vzdálený skript PowerShell, který slouží jako zadní vrátka s pokročilými funkcemi. Tato zadní vrátka PowerShellu navazují komunikaci s útočníkovými servery Command-and-Control (C2) a umožňují jim vzdáleně provádět příkazy na napadeném systému.

Kromě toho zadní vrátka usnadňují nasazení dalších zadních vrátek známých jako „AblyGo backdoor“ během pozdějších fází útoku. Tato nová zadní vrátka využívá platformu Ably, službu API, kterou vývojáři využívají k začlenění funkcí v reálném čase a poskytování informací do svých aplikací. Využitím platformy Ably jako platformy C2 mohou aktéři hrozeb posílat příkazy zakódované v base64 do zadních vrátek k provedení a přijímat výstup. Tento přístup jim umožňuje zamlžit své škodlivé aktivity v rámci legitimního síťového provozu, takže je obtížnější detekovat a monitorovat jejich operace.

„AblyGo backdoor“ hraje klíčovou roli v kampani kybernetické špionáže a umožňuje aktérům hrozeb provádět eskalaci privilegií, exfiltrovat citlivá data a dodávat další komponenty malwaru. Využitím legitimních platforem, jako je Ably, se aktéři hrozeb snaží vyhnout monitorování sítě a bezpečnostnímu softwaru, a tím zvýšit efektivitu svých útoků.

Hrozivé schopnosti nalezené v hrozbě FadeStealer

Zadní vrátka nakonec přinášejí FadeStealer jako konečný náklad. Hrozbou je vysoce účinný malware kradoucí informace navržený speciálně pro zařízení se systémem Windows. Jakmile je FadeStealer nainstalován, používá techniku zvanou DLL sideloading, aby se vložil do legitimního procesu 'ieinstall.exe' Internet Exploreru a účinně maskoval jeho přítomnost.

FadeStealer funguje tajně na pozadí a diskrétně sbírá širokou škálu citlivých informací z napadeného zařízení. V pravidelných 30minutových intervalech malware zachycuje snímky obrazovky oběti, zaznamenává zaznamenané úhozy a shromažďuje soubory z jakýchkoli připojených chytrých telefonů nebo vyměnitelných zařízení. FadeStealer má navíc schopnost nahrávat zvuk přes mikrofon zařízení, což umožňuje aktérům hrozeb stojícím za útokem odposlouchávat konverzace a získávat další informace.

Shromážděná data jsou uložena ve specifických složkách %Temp%, z nichž každá slouží jinému účelu v rámci procesu exfiltrace dat. Snímky obrazovky pořízené malwarem jsou uloženy ve složce %temp%\VSTelems_Fade\NgenPdbc, zatímco zaznamenané stisky kláves jsou uloženy ve složce %temp%\VSTelems_Fade\NgenPdbk. Složka %temp%\VSTelems_Fade\NgenPdbm je vyhrazena pro ukládání dat získaných odposlechem mikrofonu. Složka %temp%\VSTelems_FadeIn se navíc používá pro shromažďování dat z připojených chytrých telefonů, zatímco složka %temp%\VSTelems_FadeOut slouží jako úložiště pro data shromážděná ze zařízení vyměnitelných médií. Tyto specifické složky zajišťují, že shromážděná data jsou organizována a přístupná aktérům hrozeb organizujícím kampaň kybernetické špionáže.

Pro udržení efektivity a usnadnění ukládání dat shromažďuje FadeStealer ukradené informace v archivních souborech RAR. To malwaru umožňuje komprimovat a organizovat ukradená data a zajistit, že zůstanou skrytá a snadno přenosná pro následnou exfiltraci aktéry hrozby.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...