FadeStealer

Hakkerointiryhmä APT37, jota kutsutaan myös nimellä StarCruft, Reaper tai RedEyes, on hiljattain havaittu käyttämällä äskettäin löydettyä tietoa varastavaa haittaohjelmaa nimeltä FadeStealer. Tämä kehittynyt haittaohjelma sisältää salakuunteluominaisuuden, jonka avulla uhkatekijät voivat siepata ja tallentaa ääntä uhrien mikrofoneista salaa.

APT37: n uskotaan laajalti olevan valtion tukema hakkerointiryhmä, jolla on merkittävä kokemus kybervakoiluoperaatioista Pohjois-Korean etujen mukaisesti. Heidän kohteinaan ovat olleet pohjoiskorealaiset loikkarit, oppilaitokset ja Euroopan unioniin sijoittautuneet järjestöt.

Aiemmissa kampanjoissa tämä ryhmä on käyttänyt räätälöityjä haittaohjelmia, kuten 'Dolphin' ja ' M2RAT ', kyberhyökkäysten suorittamiseen. Nämä uhkaavat työkalut on suunniteltu erityisesti soluttautumaan Windows-laitteisiin, mukaan lukien yhdistettyihin matkapuhelimiin, ja helpottamaan erilaisia haitallisia toimintoja, kuten komentojen suorittamista, tietovarkauksia, tunnistetietojen keräämistä ja kuvakaappausten ottamista.

Mukautettu takaoven haittaohjelma tarjoaa FadeStealer-uhan

Tietoturvatutkijat ovat äskettäin paljastaneet yksityiskohtia toisesta APT37:n hyökkäyksissä käyttämästä räätälöitystä haittaohjelmasta, joka tunnetaan nimellä AblyGo-takaovi. FadeStealer-ohjelman ohella nämä ei-toivotut työkalut on suunniteltu tunkeutumaan kohdennettuihin järjestelmiin ja helpottamaan erilaisia haitallisia toimia.

Tämän haittaohjelman alkuperäinen toimitustapa sisältää tietojenkalasteluviestit, jotka sisältävät liitteenä olevia arkistoja. Nämä arkistot koostuvat salasanalla suojatuista Word- ja Hangul Word Processor -asiakirjoista (.docx- ja .hwp-tiedostot) sekä "password.chm" Windows CHM -tiedosto. On erittäin todennäköistä, että tietojenkalasteluviestit kehottavat vastaanottajia avaamaan CHM-tiedoston saadakseen asiakirjojen lukituksen avaamiseen tarvittavan salasanan. Uhrien tietämättä tämä toiminto kuitenkin käynnistää tartuntaprosessin heidän Windows-laitteissaan.

Kun CHM-tiedosto avataan, petollinen kehote näyttää väitetyn salasanan asiakirjojen lukituksen avaamiseksi. Samanaikaisesti tiedosto lataa ja suorittaa huomaamattomasti PowerShell-etäkomentosarjan, joka toimii takaovena edistyneillä toiminnoilla. Tämä PowerShell-takaovi muodostaa yhteyden hyökkääjien Command-and-Control (C2) -palvelimiin, jolloin ne voivat suorittaa komentoja vaarantuneessa järjestelmässä etänä.

Lisäksi takaovi helpottaa lisätakaoven, joka tunnetaan nimellä "AblyGo backdoor", käyttöönottoa hyökkäyksen myöhemmissä vaiheissa. Tämä uusi takaovi hyödyntää Ably Platformia, API-palvelua, jota kehittäjät käyttävät sisällyttääkseen reaaliaikaisia ominaisuuksia ja tiedon toimittamista sovelluksiinsa. Käyttämällä Ably Platformia C2-alustana uhkatoimijat voivat lähettää base64-koodattuja komentoja takaovelle suoritettavaksi ja vastaanottaa tulosteen. Tämän lähestymistavan avulla he voivat hämärtää haitalliset toimintansa laillisen verkkoliikenteen sisällä, mikä tekee toimintojensa havaitsemisesta ja valvomisesta haastavampaa.

"AblyGo-takaportilla" on ratkaiseva rooli kybervakoilukampanjassa, koska se mahdollistaa uhkatoimijoiden oikeuksien eskaloinnin, arkaluontoisten tietojen suodattamisen ja lisähaittaohjelmien komponenttien toimituksen. Hyödyntämällä laillisia alustoja, kuten Ably, uhkatoimijat pyrkivät kiertämään verkon valvonta- ja tietoturvaohjelmistoja, mikä lisää hyökkäystensa tehokkuutta.

FadeStealer-uhkassa löydetyt uhkaavat ominaisuudet

Takaovet tarjoavat lopulta FadeStealerin viimeisenä hyötykuormana. Uhka on erittäin tehokas tietoa varastava haittaohjelma, joka on suunniteltu erityisesti Windows-laitteille. Kun FadeStealer on asennettu, se käyttää DLL-sivulataukseksi kutsuttua tekniikkaa ruiskuttaakseen itsensä Internet Explorerin lailliseen "ieinstall.exe"-prosessiin ja peittää sen läsnäolon tehokkaasti.

FadeStealer toimii salaa taustalla ja kerää huomaamattomasti monenlaisia arkaluonteisia tietoja vaarantuneelta laitteelta. Haittaohjelma kaappaa säännöllisin väliajoin 30 minuutin välein kuvakaappauksia uhrin näytöstä, tallentaa kirjatut näppäinpainallukset ja kerää tiedostoja kaikista yhdistetyistä älypuhelimista tai irrotettavista laitteista. Lisäksi FadeStealer pystyy tallentamaan ääntä laitteen mikrofonin kautta, jolloin hyökkäyksen takana olevat uhkatekijät voivat salakuunnella keskusteluja ja kerätä lisätietoa.

Kerätyt tiedot tallennetaan tiettyihin %Temp% -kansioihin, joista jokaisella on erillinen tarkoitus tietojen suodatusprosessissa. Haittaohjelman ottamat kuvakaappaukset tallennetaan kansioon %temp%\VSTelems_Fade\NgenPdbc, kun taas kirjatut näppäinpainallukset tallennetaan kansioon %temp%\VSTelems_Fade\NgenPdbk. %temp%\VSTelems_Fade\NgenPdbm-kansio on omistettu mikrofonin salakuuntelun kautta saatujen tietojen tallentamiseen. Lisäksi %temp%\VSTelems_FadeIn-kansiota käytetään tietojen keräämiseen yhdistetyistä älypuhelimista, kun taas %temp%\VSTelems_FadeOut-kansio toimii siirrettävistä medialaitteista kerätyn tiedon tallennuspaikkana. Nämä erityiset kansiot varmistavat, että kerätyt tiedot ovat järjestettyjä ja kybervakoilukampanjaa järjestävien uhkatoimijoiden saatavilla.

Tehokkuuden ylläpitämiseksi ja tietojen tallennuksen helpottamiseksi FadeStealer kerää varastetut tiedot RAR-arkistotiedostoihin. Näin haittaohjelmat voivat pakata ja järjestää varastetut tiedot varmistaen, että ne pysyvät piilossa ja helposti kuljetettavissa uhkatekijöiden myöhempää suodattamista varten.