FadeStealer

Häkkimisrühmitust APT37, millele viidatakse ka kui StarCruft, Reaper või RedEyes, on hiljuti täheldatud äsja avastatud teabevarastavat pahavara nimega FadeStealer. See keerukas pahavara sisaldab pealtkuulamisvõimalust, mis võimaldab ohus osalejatel ohvrite mikrofonidest salaja heli pealt kuulata ja salvestada.

Laialdaselt arvatakse, et APT37 on riigi toetatud häkkimisrühmitus, millel on märkimisväärne kogemus Põhja-Korea huvidega kooskõlas olevate küberspionaažioperatsioonide läbiviimisel. Nende sihtmärkideks on olnud Põhja-Korea ülejooksjad, haridusasutused ja Euroopa Liidus asuvad organisatsioonid.

Varasemates kampaaniates on see rühm kasutanud küberrünnakute läbiviimiseks kohandatud pahavara, nagu "Dolphin" ja " M2RAT ". Need ähvardavad tööriistad on loodud spetsiaalselt Windowsi seadmetesse, sealhulgas ühendatud mobiiltelefonidesse, imbumiseks ja mitmesuguste pahatahtlike tegevuste hõlbustamiseks, nagu käskude täitmine, andmete vargus, mandaadi kogumine ja ekraanipiltide jäädvustamine.

Kohandatud tagaukse pahavara pakub FadeStealeri ohtu

Turvateadlased on hiljuti avastanud üksikasju teise kohandatud pahavara kohta, mida APT37 rünnakutes kasutas ja mida tuntakse kui AblyGo tagauks. Lisaks FadeStealerile on need soovimatud tööriistad loodud sihtsüsteemidesse imbumiseks ja mitmesuguste kahjulike tegevuste hõlbustamiseks.

Selle pahavara esialgne edastamisviis hõlmab andmepüügimeile, mis sisaldavad manustatud arhiive. Need arhiivid koosnevad parooliga kaitstud Wordi ja Hanguli tekstitöötlusprogrammi dokumentidest (.docx- ja .hwp-failid) ning Windowsi CHM-faili „password.chm”. On väga tõenäoline, et andmepüügimeilid annavad adressaatidele korralduse avada CHM-fail, et hankida dokumentide avamiseks vajalik parool. Kuid ohvrite teadmata käivitab see toiming nakatumise protsessi nende Windowsi seadmetes.

CHM-faili avamisel kuvatakse petlik viip dokumentide avamiseks väidetav parool. Samal ajal laadib fail diskreetselt alla ja käivitab PowerShelli kaugskripti, mis toimib täiustatud funktsioonidega tagauksena. See PowerShelli tagauks loob side ründajate Command-and-Control (C2) serveritega, võimaldades neil rikutud süsteemis kaugjuhtimisega käske täita.

Lisaks hõlbustab tagauks täiendava tagaukse, mida nimetatakse "AblyGo tagaukseks", kasutuselevõttu rünnaku hilisemates etappides. See uus tagauks kasutab API-teenust Ably Platform, mida arendajad kasutavad oma rakendustesse reaalajas funktsioonide ja teabe edastamiseks. Kasutades Ably platvormi C2 platvormina, saavad ohus osalejad saata base64-kodeeritud käsud tagauksele täitmiseks ja väljundi vastu võtta. See lähenemine võimaldab neil hägustada oma pahatahtlikke tegevusi seadusliku võrguliikluse raames, muutes nende toimingute tuvastamise ja jälgimise keerulisemaks.

"AblyGo tagauks" mängib küberspionaažikampaanias üliolulist rolli, võimaldades ohus osalejatel privileegide eskaleerimist, tundlikke andmeid välja filtreerida ja täiendavaid pahavarakomponente tarnida. Kasutades seaduslikke platvorme, nagu Ably, püüavad ohus osalejad vältida võrgu jälgimist ja turvatarkvara, suurendades seeläbi oma rünnakute tõhusust.

FadeStealeri ohus leitud ähvardavad võimalused

Tagauksed annavad lõpuks FadeStealeri lõpliku kasuliku koormana. Oht on väga võimas teabevarastav pahavara, mis on loodud spetsiaalselt Windowsi seadmete jaoks. Pärast installimist kasutab FadeStealer tehnikat, mida nimetatakse DLL-i külglaadimiseks, et süstida end Internet Exploreri seaduslikku ieinstall.exe protsessi, maskeerides selle olemasolu tõhusalt.

FadeStealer töötab taustal vargsi, kogudes ohustatud seadmest diskreetselt laia valikut tundlikku teavet. Regulaarse 30-minutilise intervalliga teeb pahavara ohvri ekraanist ekraanipilte, salvestab logitud klahvivajutused ja kogub faile ühendatud nutitelefonidest või irdseadmetest. Lisaks on FadeStealeril võimalus salvestada heli läbi seadme mikrofoni, võimaldades rünnaku taga olevatel ohus osalejatel vestlusi pealt kuulata ja täiendavat luureandmeid koguda.

Kogutud andmed salvestatakse kindlatesse %Temp% kaustadesse, millest igaüks täidab andmete väljafiltreerimise protsessis kindlat eesmärki. Pahavara tehtud ekraanipildid salvestatakse kausta %temp%\VSTelems_Fade\NgenPdbc, logitud klahvivajutused aga kaustas %temp%\VSTelems_Fade\NgenPdbk. Kaust %temp%\VSTelems_Fade\NgenPdbm on mõeldud mikrofoni pealtkuulamise teel saadud andmete salvestamiseks. Lisaks kasutatakse kausta %temp%\VSTelems_FadeIn andmete kogumiseks ühendatud nutitelefonidest, samas kui kaust %temp%\VSTelems_FadeOut toimib irdmeediumiseadmetelt kogutud andmete salvestuskohana. Need konkreetsed kaustad tagavad, et kogutud andmed on korrastatud ja küberspionaažikampaaniat korraldavatele ohus osalejatele juurdepääsetavad.

Tõhususe säilitamiseks ja andmete salvestamise hõlbustamiseks kogub FadeStealer varastatud teabe RAR-i arhiivifailidesse. See võimaldab pahavaral varjatud andmeid tihendada ja korrastada, tagades, et need jäävad peidetuks ja kergesti transporditavaks, et ohus osalejad saaksid neid hiljem välja uurida.