FadeStealer

קבוצת הפריצה APT37 המכונה גם StarCruft, Reaper או RedEyes, נצפתה לאחרונה תוך שימוש בתוכנה זדונית גניבת מידע חדשה שהתגלתה בשם FadeStealer. תוכנה זדונית מתוחכמת זו משלבת יכולת 'האזנת סתר', המאפשרת לשחקני האיום ליירט ולהקליט אודיו מהמיקרופונים של הקורבנות בסתר.

ההערכה הרווחת של APT37 היא קבוצת פריצה בחסות המדינה עם רקורד משמעותי בביצוע פעולות ריגול סייבר המתואמות את האינטרסים של צפון קוריאה. המטרות שלהם כללו עריקים צפון קוריאנים, מוסדות חינוך וארגונים המבוססים באיחוד האירופי.

בקמפיינים קודמים, קבוצה זו השתמשה בתוכנות זדוניות מותאמות אישית כגון 'דולפין' ו' M2RAT ' כדי לבצע את התקפות הסייבר שלה. הכלים המאיימים הללו תוכננו במיוחד כדי לחדור למכשירי Windows, כולל טלפונים ניידים מחוברים, ולאפשר פעילויות זדוניות שונות כגון ביצוע פקודות, גניבת נתונים, איסוף אישורים ולכידת צילומי מסך.

תוכנה זדונית מותאמת אישית לדלת אחורית מספקת את איום ה-FadeStealer

חוקרי אבטחה חשפו לאחרונה פרטים על תוכנה זדונית מותאמת אישית נוספת המשמשת בהתקפות של APT37, המכונה הדלת האחורית של AblyGo. לצד FadeStealer, הכלים הלא רצויים הללו נועדו לחדור למערכות ממוקדות ולאפשר פעילויות מזיקות שונות.

שיטת המסירה הראשונית של תוכנה זדונית זו כוללת הודעות דיוג המכילות ארכיונים מצורפים. ארכיונים אלה מורכבים ממסמכי Word ו-Hangul מעבד תמלילים המוגנים בסיסמה (קובצי .docx ו-.hwp), יחד עם קובץ 'password.chm' של Windows CHM. סביר מאוד להניח שהודעות הדיוג מורים לנמענים לפתוח את קובץ ה-CHM כדי לקבל את הסיסמה הנדרשת כדי לפתוח את המסמכים. עם זאת, ללא ידיעת הקורבנות, פעולה זו מפעילה את תהליך ההדבקה במכשירי Windows שלהם.

עם פתיחת קובץ CHM, הנחיה מטעה תציג את הסיסמה לכאורה לביטול נעילת המסמכים. במקביל, הקובץ מוריד ומבצע באופן דיסקרטי סקריפט PowerShell מרוחק, המשמש כדלת אחורית עם פונקציונליות מתקדמת. דלת אחורית זו של PowerShell מייצרת תקשורת עם שרתי Command-and-Control (C2) של התוקפים, ומאפשרת להם לבצע פקודות על המערכת שנפרצה מרחוק.

יתר על כן, הדלת האחורית מאפשרת פריסה של דלת אחורית נוספת המכונה 'דלת אחורית של AblyGo' במהלך השלבים המאוחרים של המתקפה. הדלת האחורית החדשה הזו ממנפת את Ably Platform, שירות API שמפתחים משתמשים בו כדי לשלב תכונות בזמן אמת ואספקת מידע באפליקציות שלהם. על ידי שימוש ב- Ably Platform כפלטפורמת C2, שחקני האיום יכולים לשלוח פקודות מקודדות base64 לדלת האחורית לביצוע ולקבל את הפלט. גישה זו מאפשרת להם לטשטש את הפעילויות הזדוניות שלהם בתוך תעבורת רשת לגיטימית, מה שהופך את זה למאתגר יותר לזהות ולנטר את הפעולות שלהם.

הדלת האחורית של 'AblyGo' ממלאת תפקיד מכריע בקמפיין ריגול הסייבר, ומאפשרת לשחקני האיום לבצע הסלמה של הרשאות, לסנן נתונים רגישים ולספק רכיבי תוכנה זדונית נוספים. על ידי שימוש בפלטפורמות לגיטימיות כמו Ably, גורמי האיום שואפים להתחמק מתוכנות ניטור רשת ואבטחה, ובכך להגביר את האפקטיביות של ההתקפות שלהם.

היכולות המאיימות שנמצאו באיום FadeStealer

הדלתות האחוריות מספקות בסופו של דבר את FadeStealer כמטען אחרון. האיום הוא תוכנה זדונית עוצמתית ביותר לגניבת מידע שתוכננה במיוחד עבור מכשירי Windows. לאחר ההתקנה, FadeStealer משתמש בטכניקה הנקראת DLL sideloading כדי להחדיר את עצמה לתהליך ה-'ieinstall.exe' הלגיטימי של Internet Explorer, ולמעשה להסוות את נוכחותו.

FadeStealer פועל בחשאי ברקע, קוטף באופן דיסקרטי מגוון רחב של מידע רגיש מהמכשיר שנפגע. במרווחים קבועים של 30 דקות, התוכנה הזדונית לוכדת צילומי מסך של המסך של הקורבן, מתעדת הקשות מקלדת מתועדות ואוספת קבצים מכל סמארטפון או מכשירים נשלפים מחוברים. יתר על כן, ל-FadeStealer יש את היכולת להקליט אודיו דרך המיקרופון של המכשיר, מה שמאפשר לשחקני האיום מאחורי המתקפה לצותת לשיחות ולאסוף מידע מודיעיני נוסף.

הנתונים שנאספים מאוחסנים בתיקיות %Temp% ספציפיות, כל אחת משרתת מטרה נפרדת בתהליך חילוץ הנתונים. צילומי מסך שצולמו על ידי התוכנה הזדונית מאוחסנות בתיקייה %temp%\VSTelems_Fade\NgenPdbc, בעוד שהקשות מתועדות מאוחסנות ב-%temp%\VSTelems_Fade\NgenPdbk. התיקיה %temp%\VSTelems_Fade\NgenPdbm מוקדשת לאחסון נתונים המתקבלים באמצעות האזנת סתר למיקרופון. בנוסף, התיקיה %temp%\VSTelems_FadeIn משמשת לאיסוף נתונים מסמארטפונים מחוברים, בעוד שהתיקיה %temp%\VSTelems_FadeOut משמשת כמקום האחסון של נתונים שנאספים מהתקני מדיה נשלפים. התיקיות הספציפיות הללו מבטיחות שהנתונים שנאספו מאורגנים ונגישים לגורמי האיומים שמתזמרים את מסע הריגול בסייבר.

כדי לשמור על יעילות ולהקל על אחסון הנתונים, FadeStealer אוסף את המידע הגנוב בקבצי ארכיון RAR. זה מאפשר לתוכנה הזדונית לדחוס ולארגן את הנתונים שנגנבו, ולהבטיח שהם יישארו סמויים וניתנים להעברה בקלות להסרה שלאחר מכן על ידי גורמי האיום.