FadeStealer

Hackinggruppen APT37, også kaldet StarCruft, Reaper eller RedEyes, er for nylig blevet observeret ved hjælp af en nyopdaget informationstjælende malware kaldet FadeStealer. Denne sofistikerede malware inkorporerer en 'aflytningsfunktion', der gør det muligt for trusselsaktører at opsnappe og optage lyd fra ofrenes mikrofoner i hemmelighed.

APT37 menes i vid udstrækning at være en statssponsoreret hackergruppe med en betydelig track record i at udføre cyberspionageoperationer i overensstemmelse med Nordkoreas interesser. Deres mål har omfattet nordkoreanske afhoppere, uddannelsesinstitutioner og organisationer baseret i EU.

I tidligere kampagner har denne gruppe brugt specialfremstillet malware såsom 'Dolphin' og ' M2RAT ' til at udføre deres cyberangreb. Disse truende værktøjer var specifikt designet til at infiltrere Windows-enheder, herunder tilsluttede mobiltelefoner, og lette forskellige ondsindede aktiviteter såsom kommandoudførelse, datatyveri, indsamling af legitimationsoplysninger og optagelse af skærmbilleder.

En tilpasset bagdørs-malware leverer FadeStealer-truslen

Sikkerhedsforskere har for nylig afsløret detaljer om en anden tilpasset malware brugt i angreb fra APT37, kendt som AblyGo-bagdøren. Sammen med FadeStealer er disse uønskede værktøjer designet til at infiltrere målrettede systemer og lette forskellige skadelige aktiviteter.

Den indledende leveringsmetode for denne malware involverer phishing-e-mails, der indeholder vedhæftede arkiver. Disse arkiver består af adgangskodebeskyttede Word- og Hangul-tekstbehandlingsdokumenter (.docx- og .hwp-filer) sammen med en 'password.chm' Windows CHM-fil. Det er højst sandsynligt, at phishing-e-mails instruerer modtagerne om at åbne CHM-filen for at få adgangskoden til at låse dokumenterne op. Men uden at ofrene ved det, udløser denne handling infektionsprocessen på deres Windows-enheder.

Når CHM-filen åbnes, vil en vildledende prompt vise den påståede adgangskode for at låse dokumenterne op. Samtidig downloader og udfører filen diskret et eksternt PowerShell-script, der fungerer som en bagdør med avanceret funktionalitet. Denne PowerShell-bagdør etablerer kommunikation med angribernes Command-and-Control-servere (C2), hvilket gør dem i stand til at udføre kommandoer på det kompromitterede system eksternt.

Ydermere letter bagdøren implementeringen af en ekstra bagdør kendt som 'AblyGo-bagdøren' under de senere stadier af angrebet. Denne nye bagdør udnytter Ably Platform, en API-tjeneste, som udviklere bruger til at inkorporere realtidsfunktioner og informationslevering i deres applikationer. Ved at bruge Ably-platformen som en C2-platform kan trusselsaktørerne sende base64-kodede kommandoer til bagdøren for udførelse og modtage output. Denne tilgang giver dem mulighed for at sløre deres ondsindede aktiviteter inden for legitim netværkstrafik, hvilket gør det mere udfordrende at opdage og overvåge deres operationer.

'AblyGo-bagdøren' spiller en afgørende rolle i cyberspionagekampagnen, der gør det muligt for trusselsaktører at udføre privilegieeskalering, udskille følsomme data og levere yderligere malware-komponenter. Ved at bruge legitime platforme som Ably sigter trusselsaktørerne på at undgå netværksovervågning og sikkerhedssoftware og derved øge effektiviteten af deres angreb.

De truende egenskaber fundet i FadeStealer-truslen

Bagdørene leverer i sidste ende FadeStealer som en endelig nyttelast. Truslen er en meget potent informationstjælende malware designet specifikt til Windows-enheder. Når først den er installeret, anvender FadeStealer en teknik kaldet DLL sideloading til at injicere sig selv i den legitime 'ieinstall.exe'-proces i Internet Explorer, hvilket effektivt camouflerer dens tilstedeværelse.

FadeStealer fungerer snigende i baggrunden og høster diskret en lang række følsomme oplysninger fra den kompromitterede enhed. Med regelmæssige intervaller på 30 minutter optager malwaren skærmbilleder af offerets skærm, registrerer loggede tastetryk og samler filer fra alle tilsluttede smartphones eller flytbare enheder. Desuden besidder FadeStealer evnen til at optage lyd gennem enhedens mikrofon, hvilket giver trusselsaktørerne bag angrebet mulighed for at aflytte samtaler og indsamle yderligere efterretninger.

De indsamlede data gemmes i specifikke %Temp%-mapper, der hver tjener et særskilt formål inden for dataeksfiltreringsprocessen. Skærmbilleder taget af malwaren gemmes i mappen %temp%\VSTelems_Fade\NgenPdbc, mens loggede tastetryk gemmes i %temp%\VSTelems_Fade\NgenPdbk. Mappen %temp%\VSTelems_Fade\NgenPdbm er dedikeret til lagring af data opnået gennem mikrofonaflytning. Derudover bruges mappen %temp%\VSTelems_FadeIn til at indsamle data fra tilsluttede smartphones, mens mappen %temp%\VSTelems_FadeOut fungerer som lagerplads for data indsamlet fra flytbare medieenheder. Disse specifikke mapper sikrer, at de indsamlede data er organiseret og tilgængelige for de trusselsaktører, der orkestrerer cyberspionagekampagnen.

For at opretholde effektiviteten og lette datalagring indsamler FadeStealer de stjålne oplysninger i RAR-arkivfiler. Dette gør det muligt for malwaren at komprimere og organisere de stjålne data, hvilket sikrer, at de forbliver skjult og let at transportere til efterfølgende eksfiltrering af trusselsaktørerne.