FadeStealer
گروه هک APT37 که با نامهای StarCruft، Reaper یا RedEyes نیز شناخته میشود، اخیراً با استفاده از یک بدافزار سرقت اطلاعات جدید کشف شده به نام FadeStealer مشاهده شده است. این بدافزار پیچیده دارای قابلیت "شنود" است که به عوامل تهدید امکان می دهد صدا را از میکروفون قربانیان مخفیانه رهگیری و ضبط کنند.
به طور گسترده ای اعتقاد بر این است که APT37 یک گروه هکر تحت حمایت دولت است که سابقه قابل توجهی در انجام عملیات جاسوسی سایبری در راستای منافع کره شمالی دارد. اهداف آنها شامل فراریان کره شمالی، موسسات آموزشی و سازمان های مستقر در اتحادیه اروپا بوده است.
در کمپین های قبلی، این گروه از بدافزارهای سفارشی مانند 'Dolphin' و ' M2RAT ' برای انجام حملات سایبری خود استفاده کرده اند. این ابزارهای تهدیدکننده به طور خاص برای نفوذ به دستگاههای ویندوز، از جمله تلفنهای همراه متصل، و تسهیل فعالیتهای مخرب مختلف مانند اجرای فرمان، سرقت اطلاعات، جمعآوری اعتبار، و گرفتن اسکرین شات طراحی شدهاند.
یک بدافزار Backdoor سفارشی تهدید FadeStealer را ایجاد می کند
محققان امنیتی اخیراً جزئیات دیگری را در مورد بدافزار سفارشی دیگری که در حملات APT37 استفاده میشود، کشف کردهاند که به نام AblyGo backdoor شناخته میشود. در کنار FadeStealer، این ابزارهای ناخواسته برای نفوذ به سیستم های هدفمند و تسهیل فعالیت های مختلف مضر طراحی شده اند.
روش تحویل اولیه این بدافزار شامل ایمیل های فیشینگ است که حاوی آرشیوهای پیوست شده است. این آرشیوها شامل اسناد Word و Word Processor Hangul محافظت شده با رمز عبور (فایلهای docx. و .hwp)، به همراه یک فایل Windows CHM 'password.chm' است. به احتمال زیاد ایمیل های فیشینگ به گیرندگان دستور می دهند که فایل CHM را باز کنند تا رمز عبور لازم برای باز کردن قفل اسناد را بدست آورند. با این حال، بدون اینکه قربانیان بدانند، این عمل باعث ایجاد فرآیند عفونت در دستگاه های ویندوزی آنها می شود.
پس از باز کردن فایل CHM، یک پیام فریبنده رمز عبور ادعا شده را برای باز کردن قفل اسناد نمایش می دهد. به طور همزمان، فایل به طور محتاطانه یک اسکریپت PowerShell از راه دور را دانلود و اجرا می کند که به عنوان یک درب پشتی با عملکرد پیشرفته عمل می کند. این درپشتی PowerShell با سرورهای Command-and-Control (C2) مهاجمان ارتباط برقرار میکند و آنها را قادر میسازد تا دستورات را بر روی سیستم در معرض خطر از راه دور اجرا کنند.
علاوه بر این، درب پشتی استقرار یک درب پشتی اضافی معروف به "درپشتی AblyGo" را در مراحل بعدی حمله تسهیل می کند. این درپشتی جدید از Ably Platform استفاده می کند، یک سرویس API که توسعه دهندگان از آن برای گنجاندن ویژگی های بلادرنگ و تحویل اطلاعات در برنامه های خود استفاده می کنند. با استفاده از پلتفرم Ably به عنوان یک پلتفرم C2، عوامل تهدید می توانند دستورات کدگذاری شده با base64 را برای اجرا به درب پشتی ارسال کرده و خروجی را دریافت کنند. این رویکرد به آنها اجازه میدهد تا فعالیتهای مخرب خود را در ترافیک شبکه مجاز پنهان کنند و شناسایی و نظارت بر عملیاتهایشان را چالشبرانگیزتر کند.
"درپشتی AblyGo" نقش مهمی در کمپین جاسوسی سایبری ایفا می کند و به عوامل تهدید امکان می دهد تا امتیازات را افزایش دهند، داده های حساس را استخراج کنند و اجزای بدافزار اضافی را ارائه دهند. با استفاده از پلتفرمهای قانونی مانند Ably، عوامل تهدید قصد دارند از نظارت بر شبکه و نرمافزار امنیتی فرار کنند و در نتیجه اثربخشی حملات خود را افزایش دهند.
قابلیت های تهدید آمیز موجود در تهدید FadeStealer
درهای پشتی در نهایت FadeStealer را به عنوان محموله نهایی تحویل می دهند. این تهدید یک بدافزار بسیار قوی برای سرقت اطلاعات است که به طور خاص برای دستگاه های ویندوزی طراحی شده است. پس از نصب، FadeStealer از تکنیکی به نام بارگذاری جانبی DLL استفاده میکند تا خود را به فرآیند قانونی «ieinstall.exe» اینترنت اکسپلورر تزریق کند و به طور مؤثر حضور آن را پنهان کند.
FadeStealer به طور مخفیانه در پسزمینه عمل میکند و با احتیاط طیف وسیعی از اطلاعات حساس را از دستگاه در معرض خطر جمعآوری میکند. در فواصل منظم 30 دقیقه ای، این بدافزار از صفحه نمایش قربانی عکس می گیرد، ضربه های کلید ثبت شده را ضبط می کند و فایل ها را از هر تلفن هوشمند متصل یا دستگاه قابل جابجایی جمع آوری می کند. علاوه بر این، FadeStealer دارای قابلیت ضبط صدا از طریق میکروفون دستگاه است که به عوامل تهدید کننده پشت حمله اجازه می دهد مکالمات را شنود کرده و اطلاعات بیشتری را جمع آوری کنند.
دادههای جمعآوریشده در پوشههای خاص %Temp% ذخیره میشوند، که هر کدام هدف مشخصی را در فرآیند استخراج داده انجام میدهند. اسکرین شات های گرفته شده توسط بدافزار در پوشه %temp%\VSTelems_Fade\NgenPdbc، در حالی که کلیدهای ثبت شده در %temp%\VSTelems_Fade\NgenPdbk ذخیره می شوند. پوشه %temp%\VSTelems_Fade\NgenPdbm به ذخیره داده های به دست آمده از طریق استراق سمع میکروفون اختصاص داده شده است. علاوه بر این، پوشه %temp%\VSTelems_FadeIn برای جمعآوری دادهها از تلفنهای هوشمند متصل استفاده میشود، در حالی که پوشه %temp%\VSTelems_FadeOut به عنوان محل ذخیرهسازی دادههای جمعآوریشده از دستگاههای رسانه قابل جابجایی عمل میکند. این پوشههای خاص تضمین میکنند که دادههای جمعآوریشده سازماندهی شده و برای عوامل تهدید کننده که کمپین جاسوسی سایبری را تنظیم میکنند، قابل دسترسی است.
برای حفظ کارایی و تسهیل ذخیره سازی داده ها، FadeStealer اطلاعات دزدیده شده را در فایل های آرشیو RAR جمع آوری می کند. این بدافزار را قادر میسازد تا دادههای سرقتشده را فشرده و سازماندهی کند، و اطمینان حاصل کند که پنهان میماند و به راحتی قابل انتقال برای نفوذ بعدی توسط عوامل تهدید است.