FadeStealer

گروه هک APT37 که با نام‌های StarCruft، Reaper یا RedEyes نیز شناخته می‌شود، اخیراً با استفاده از یک بدافزار سرقت اطلاعات جدید کشف شده به نام FadeStealer مشاهده شده است. این بدافزار پیچیده دارای قابلیت "شنود" است که به عوامل تهدید امکان می دهد صدا را از میکروفون قربانیان مخفیانه رهگیری و ضبط کنند.

به طور گسترده ای اعتقاد بر این است که APT37 یک گروه هکر تحت حمایت دولت است که سابقه قابل توجهی در انجام عملیات جاسوسی سایبری در راستای منافع کره شمالی دارد. اهداف آنها شامل فراریان کره شمالی، موسسات آموزشی و سازمان های مستقر در اتحادیه اروپا بوده است.

در کمپین های قبلی، این گروه از بدافزارهای سفارشی مانند 'Dolphin' و ' M2RAT ' برای انجام حملات سایبری خود استفاده کرده اند. این ابزارهای تهدیدکننده به طور خاص برای نفوذ به دستگاه‌های ویندوز، از جمله تلفن‌های همراه متصل، و تسهیل فعالیت‌های مخرب مختلف مانند اجرای فرمان، سرقت اطلاعات، جمع‌آوری اعتبار، و گرفتن اسکرین شات طراحی شده‌اند.

یک بدافزار Backdoor سفارشی تهدید FadeStealer را ایجاد می کند

محققان امنیتی اخیراً جزئیات دیگری را در مورد بدافزار سفارشی دیگری که در حملات APT37 استفاده می‌شود، کشف کرده‌اند که به نام AblyGo backdoor شناخته می‌شود. در کنار FadeStealer، این ابزارهای ناخواسته برای نفوذ به سیستم های هدفمند و تسهیل فعالیت های مختلف مضر طراحی شده اند.

روش تحویل اولیه این بدافزار شامل ایمیل های فیشینگ است که حاوی آرشیوهای پیوست شده است. این آرشیوها شامل اسناد Word و Word Processor Hangul محافظت شده با رمز عبور (فایل‌های docx. و .hwp)، به همراه یک فایل Windows CHM 'password.chm' است. به احتمال زیاد ایمیل های فیشینگ به گیرندگان دستور می دهند که فایل CHM را باز کنند تا رمز عبور لازم برای باز کردن قفل اسناد را بدست آورند. با این حال، بدون اینکه قربانیان بدانند، این عمل باعث ایجاد فرآیند عفونت در دستگاه های ویندوزی آنها می شود.

پس از باز کردن فایل CHM، یک پیام فریبنده رمز عبور ادعا شده را برای باز کردن قفل اسناد نمایش می دهد. به طور همزمان، فایل به طور محتاطانه یک اسکریپت PowerShell از راه دور را دانلود و اجرا می کند که به عنوان یک درب پشتی با عملکرد پیشرفته عمل می کند. این درپشتی PowerShell با سرورهای Command-and-Control (C2) مهاجمان ارتباط برقرار می‌کند و آنها را قادر می‌سازد تا دستورات را بر روی سیستم در معرض خطر از راه دور اجرا کنند.

علاوه بر این، درب پشتی استقرار یک درب پشتی اضافی معروف به "درپشتی AblyGo" را در مراحل بعدی حمله تسهیل می کند. این درپشتی جدید از Ably Platform استفاده می کند، یک سرویس API که توسعه دهندگان از آن برای گنجاندن ویژگی های بلادرنگ و تحویل اطلاعات در برنامه های خود استفاده می کنند. با استفاده از پلتفرم Ably به عنوان یک پلتفرم C2، عوامل تهدید می توانند دستورات کدگذاری شده با base64 را برای اجرا به درب پشتی ارسال کرده و خروجی را دریافت کنند. این رویکرد به آن‌ها اجازه می‌دهد تا فعالیت‌های مخرب خود را در ترافیک شبکه مجاز پنهان کنند و شناسایی و نظارت بر عملیات‌هایشان را چالش‌برانگیزتر کند.

"درپشتی AblyGo" نقش مهمی در کمپین جاسوسی سایبری ایفا می کند و به عوامل تهدید امکان می دهد تا امتیازات را افزایش دهند، داده های حساس را استخراج کنند و اجزای بدافزار اضافی را ارائه دهند. با استفاده از پلتفرم‌های قانونی مانند Ably، عوامل تهدید قصد دارند از نظارت بر شبکه و نرم‌افزار امنیتی فرار کنند و در نتیجه اثربخشی حملات خود را افزایش دهند.

قابلیت های تهدید آمیز موجود در تهدید FadeStealer

درهای پشتی در نهایت FadeStealer را به عنوان محموله نهایی تحویل می دهند. این تهدید یک بدافزار بسیار قوی برای سرقت اطلاعات است که به طور خاص برای دستگاه های ویندوزی طراحی شده است. پس از نصب، FadeStealer از تکنیکی به نام بارگذاری جانبی DLL استفاده می‌کند تا خود را به فرآیند قانونی «ieinstall.exe» اینترنت اکسپلورر تزریق کند و به طور مؤثر حضور آن را پنهان کند.

FadeStealer به طور مخفیانه در پس‌زمینه عمل می‌کند و با احتیاط طیف وسیعی از اطلاعات حساس را از دستگاه در معرض خطر جمع‌آوری می‌کند. در فواصل منظم 30 دقیقه ای، این بدافزار از صفحه نمایش قربانی عکس می گیرد، ضربه های کلید ثبت شده را ضبط می کند و فایل ها را از هر تلفن هوشمند متصل یا دستگاه قابل جابجایی جمع آوری می کند. علاوه بر این، FadeStealer دارای قابلیت ضبط صدا از طریق میکروفون دستگاه است که به عوامل تهدید کننده پشت حمله اجازه می دهد مکالمات را شنود کرده و اطلاعات بیشتری را جمع آوری کنند.

داده‌های جمع‌آوری‌شده در پوشه‌های خاص %Temp% ذخیره می‌شوند، که هر کدام هدف مشخصی را در فرآیند استخراج داده انجام می‌دهند. اسکرین شات های گرفته شده توسط بدافزار در پوشه %temp%\VSTelems_Fade\NgenPdbc، در حالی که کلیدهای ثبت شده در %temp%\VSTelems_Fade\NgenPdbk ذخیره می شوند. پوشه %temp%\VSTelems_Fade\NgenPdbm به ذخیره داده های به دست آمده از طریق استراق سمع میکروفون اختصاص داده شده است. علاوه بر این، پوشه %temp%\VSTelems_FadeIn برای جمع‌آوری داده‌ها از تلفن‌های هوشمند متصل استفاده می‌شود، در حالی که پوشه %temp%\VSTelems_FadeOut به عنوان محل ذخیره‌سازی داده‌های جمع‌آوری‌شده از دستگاه‌های رسانه قابل جابجایی عمل می‌کند. این پوشه‌های خاص تضمین می‌کنند که داده‌های جمع‌آوری‌شده سازمان‌دهی شده و برای عوامل تهدید کننده که کمپین جاسوسی سایبری را تنظیم می‌کنند، قابل دسترسی است.

برای حفظ کارایی و تسهیل ذخیره سازی داده ها، FadeStealer اطلاعات دزدیده شده را در فایل های آرشیو RAR جمع آوری می کند. این بدافزار را قادر می‌سازد تا داده‌های سرقت‌شده را فشرده و سازمان‌دهی کند، و اطمینان حاصل کند که پنهان می‌ماند و به راحتی قابل انتقال برای نفوذ بعدی توسط عوامل تهدید است.