Εκπτώσεις πολλαπλών αδειών
Threat Database Advanced Persistent Threat (APT) FadeStealer

FadeStealer

Μέχρι το Mezo το Advanced Persistent Threat (APT), Backdoors, Malware, Stealers
Μετάφραση σε:
Ελληνικά

Η ομάδα hacking APT37 που αναφέρεται επίσης ως StarCruft, Reaper ή RedEyes, παρατηρήθηκε πρόσφατα χρησιμοποιώντας ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα για κλοπή πληροφοριών που ονομάζεται FadeStealer. Αυτό το εξελιγμένο κακόβουλο λογισμικό ενσωματώνει μια δυνατότητα «υποκλοπής», δίνοντας τη δυνατότητα στους παράγοντες της απειλής να παρακολουθούν και να καταγράφουν ήχο από τα μικρόφωνα των θυμάτων κρυφά.

Το APT37 πιστεύεται ευρέως ότι είναι μια κρατική ομάδα hacking με σημαντικό ιστορικό διεξαγωγής επιχειρήσεων κυβερνοκατασκοπείας που ευθυγραμμίζονται με τα συμφέροντα της Βόρειας Κορέας. Στους στόχους τους περιλαμβάνονται Βορειοκορεάτες αποστάτες, εκπαιδευτικά ιδρύματα και οργανώσεις με έδρα την Ευρωπαϊκή Ένωση.

Σε προηγούμενες καμπάνιες, αυτή η ομάδα έχει χρησιμοποιήσει προσαρμοσμένο κακόβουλο λογισμικό όπως το «Dolphin» και το « M2RAT » για να πραγματοποιήσει τις επιθέσεις στον κυβερνοχώρο. Αυτά τα απειλητικά εργαλεία σχεδιάστηκαν ειδικά για να διεισδύουν σε συσκευές Windows, συμπεριλαμβανομένων των συνδεδεμένων κινητών τηλεφώνων, και να διευκολύνουν διάφορες κακόβουλες δραστηριότητες όπως εκτέλεση εντολών, κλοπή δεδομένων, συλλογή διαπιστευτηρίων και λήψη στιγμιότυπων οθόνης.

Ένα προσαρμοσμένο κακόβουλο λογισμικό backdoor παρέχει την απειλή FadeStealer

Οι ερευνητές ασφαλείας ανακάλυψαν πρόσφατα λεπτομέρειες σχετικά με ένα άλλο προσαρμοσμένο κακόβουλο λογισμικό που χρησιμοποιείται σε επιθέσεις από το APT37, γνωστό ως κερκόπορτα AblyGo. Εκτός από το FadeStealer, αυτά τα ανεπιθύμητα εργαλεία έχουν σχεδιαστεί για να διεισδύουν σε στοχευμένα συστήματα και να διευκολύνουν διάφορες επιβλαβείς δραστηριότητες.

Η αρχική μέθοδος παράδοσης αυτού του κακόβουλου λογισμικού περιλαμβάνει μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν συνημμένα αρχεία. Αυτά τα αρχεία αποτελούνται από έγγραφα Word και Hangul Word Processor που προστατεύονται με κωδικό πρόσβασης (αρχεία .docx και .hwp), μαζί με ένα αρχείο CHM των Windows «password.chm». Είναι πολύ πιθανό τα μηνύματα ηλεκτρονικού ψαρέματος να δίνουν οδηγίες στους παραλήπτες να ανοίξουν το αρχείο CHM για να αποκτήσουν τον κωδικό πρόσβασης που απαιτείται για το ξεκλείδωμα των εγγράφων. Ωστόσο, εν αγνοία των θυμάτων, αυτή η ενέργεια ενεργοποιεί τη διαδικασία μόλυνσης στις συσκευές Windows τους.

Με το άνοιγμα του αρχείου CHM, ένα παραπλανητικό μήνυμα θα εμφανίσει τον υποτιθέμενο κωδικό πρόσβασης για το ξεκλείδωμα των εγγράφων. Ταυτόχρονα, το αρχείο κατεβάζει και εκτελεί διακριτικά ένα απομακρυσμένο σενάριο PowerShell, το οποίο λειτουργεί ως backdoor με προηγμένη λειτουργικότητα. Αυτή η κερκόπορτα του PowerShell δημιουργεί επικοινωνία με τους διακομιστές Command-and-Control (C2) των εισβολέων, δίνοντάς τους τη δυνατότητα να εκτελούν εντολές στο παραβιασμένο σύστημα εξ αποστάσεως.

Επιπλέον, η κερκόπορτα διευκολύνει την ανάπτυξη μιας πρόσθετης κερκόπορτας γνωστής ως «Πίσω πόρτα AblyGo» κατά τα τελευταία στάδια της επίθεσης. Αυτή η νέα κερκόπορτα αξιοποιεί την πλατφόρμα Ably, μια υπηρεσία API που χρησιμοποιούν οι προγραμματιστές για να ενσωματώσουν δυνατότητες σε πραγματικό χρόνο και παράδοση πληροφοριών στις εφαρμογές τους. Χρησιμοποιώντας την πλατφόρμα Ably ως πλατφόρμα C2, οι παράγοντες απειλής μπορούν να στείλουν εντολές με κωδικοποίηση base64 στην κερκόπορτα για εκτέλεση και να λάβουν την έξοδο. Αυτή η προσέγγιση τους επιτρέπει να συγκαλύπτουν τις κακόβουλες δραστηριότητές τους εντός της νόμιμης κυκλοφορίας δικτύου, καθιστώντας πιο δύσκολο τον εντοπισμό και την παρακολούθηση των λειτουργιών τους.

Το «AblyGo backdoor» διαδραματίζει κρίσιμο ρόλο στην εκστρατεία κατασκοπείας στον κυβερνοχώρο, δίνοντας τη δυνατότητα στους παράγοντες της απειλής να διεξάγουν κλιμάκωση των προνομίων, να εκμεταλλεύονται ευαίσθητα δεδομένα και να παρέχουν πρόσθετα στοιχεία κακόβουλου λογισμικού. Χρησιμοποιώντας νόμιμες πλατφόρμες όπως το Ably, οι φορείς απειλών στοχεύουν να αποφύγουν το λογισμικό παρακολούθησης δικτύου και ασφάλειας, αυξάνοντας έτσι την αποτελεσματικότητα των επιθέσεών τους.

Οι Απειλητικές Δυνατότητες που βρέθηκαν στην Απειλή FadeStealer

Οι κερκόπορτες παραδίδουν τελικά το FadeStealer ως τελικό ωφέλιμο φορτίο. Η απειλή είναι ένα εξαιρετικά ισχυρό κακόβουλο λογισμικό κλοπής πληροφοριών που έχει σχεδιαστεί ειδικά για συσκευές Windows. Μόλις εγκατασταθεί, το FadeStealer χρησιμοποιεί μια τεχνική που ονομάζεται παράπλευρη φόρτωση DLL για να εισχωρήσει στη νόμιμη διαδικασία 'ieinstall.exe' του Internet Explorer, συγκαλύπτοντας αποτελεσματικά την παρουσία του.

Το FadeStealer λειτουργεί κρυφά στο παρασκήνιο, συγκεντρώνοντας διακριτικά ένα ευρύ φάσμα ευαίσθητων πληροφοριών από την παραβιασμένη συσκευή. Σε τακτά χρονικά διαστήματα των 30 λεπτών, το κακόβουλο λογισμικό καταγράφει στιγμιότυπα οθόνης της οθόνης του θύματος, καταγράφει πληκτρολογήσεις που έχουν καταγραφεί και συλλέγει αρχεία από οποιοδήποτε συνδεδεμένο smartphone ή αφαιρούμενη συσκευή. Επιπλέον, το FadeStealer διαθέτει τη δυνατότητα εγγραφής ήχου μέσω του μικροφώνου της συσκευής, επιτρέποντας στους παράγοντες απειλών πίσω από την επίθεση να κρυφακούουν συνομιλίες και να συλλέγουν πρόσθετες πληροφορίες.

Τα δεδομένα που συλλέγονται αποθηκεύονται σε συγκεκριμένους φακέλους %Temp%, καθένας από τους οποίους εξυπηρετεί έναν ξεχωριστό σκοπό στη διαδικασία εξαγωγής δεδομένων. Τα στιγμιότυπα οθόνης που λαμβάνονται από το κακόβουλο λογισμικό αποθηκεύονται στο φάκελο %temp%\VSTelems_Fade\NgenPdbc, ενώ οι καταγεγραμμένες πληκτρολογήσεις αποθηκεύονται στο %temp%\VSTelems_Fade\NgenPdbk. Ο φάκελος %temp%\VSTelems_Fade\NgenPdbm είναι αφιερωμένος στην αποθήκευση δεδομένων που λαμβάνονται μέσω υποκλοπής μικροφώνου. Επιπλέον, ο φάκελος %temp%\VSTelems_FadeIn χρησιμοποιείται για τη συλλογή δεδομένων από συνδεδεμένα smartphone, ενώ ο φάκελος %temp%\VSTelems_FadeOut χρησιμεύει ως τοποθεσία αποθήκευσης δεδομένων που συλλέγονται από αφαιρούμενες συσκευές πολυμέσων. Αυτοί οι συγκεκριμένοι φάκελοι διασφαλίζουν ότι τα δεδομένα που συλλέγονται είναι οργανωμένα και προσβάσιμα στους φορείς απειλών που ενορχηστρώνουν την εκστρατεία κατασκοπείας στον κυβερνοχώρο.

Για να διατηρήσει την αποτελεσματικότητα και να διευκολύνει την αποθήκευση δεδομένων, το FadeStealer συλλέγει τις κλεμμένες πληροφορίες σε αρχεία αρχειοθέτησης RAR. Αυτό επιτρέπει στο κακόβουλο λογισμικό να συμπιέζει και να οργανώνει τα κλοπιμαία δεδομένα, διασφαλίζοντας ότι παραμένουν κρυμμένα και εύκολα μεταφερόμενα για επακόλουθη διείσδυση από τους παράγοντες απειλής.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...