फ़ेडस्टीलर

हैकिंग समूह APT37 को StarCruft, Reaper, या RedEyes के नाम से भी जाना जाता है, जिसे हाल ही में FadeStealer नामक एक नए खोजे गए जानकारी-चोरी करने वाले मैलवेयर का उपयोग करते हुए देखा गया है। यह परिष्कृत मैलवेयर एक 'वायरटैपिंग' क्षमता को शामिल करता है, जो खतरे वाले अभिनेताओं को पीड़ितों के माइक्रोफोन से गुप्त रूप से ऑडियो को रोकने और रिकॉर्ड करने में सक्षम बनाता है।

APT37 को व्यापक रूप से एक राज्य-प्रायोजित हैकिंग समूह माना जाता है, जिसका उत्तर कोरिया के हितों के अनुरूप साइबर जासूसी संचालन करने का एक महत्वपूर्ण ट्रैक रिकॉर्ड है। उनके निशाने पर उत्तर कोरियाई दलबदलू, शैक्षणिक संस्थान और यूरोपीय संघ में स्थित संगठन शामिल हैं।

पिछले अभियानों में, इस समूह ने अपने साइबर हमलों को अंजाम देने के लिए 'डॉल्फिन' और ' एम2आरएटी ' जैसे कस्टम-निर्मित मैलवेयर का इस्तेमाल किया है। ये धमकी देने वाले उपकरण विशेष रूप से कनेक्टेड मोबाइल फोन सहित विंडोज उपकरणों में घुसपैठ करने और कमांड निष्पादन, डेटा चोरी, क्रेडेंशियल कटाई और स्क्रीनशॉट कैप्चर करने जैसी विभिन्न दुर्भावनापूर्ण गतिविधियों को सुविधाजनक बनाने के लिए डिज़ाइन किए गए थे।

एक कस्टम बैकडोर मैलवेयर फ़ेडस्टीलर ख़तरा उत्पन्न करता है

सुरक्षा शोधकर्ताओं ने हाल ही में APT37 द्वारा हमलों में उपयोग किए जाने वाले एक अन्य कस्टम मैलवेयर के बारे में विवरण उजागर किया है, जिसे AblyGo बैकडोर के रूप में जाना जाता है। फ़ेडस्टीलर के साथ, ये अवांछित उपकरण लक्षित प्रणालियों में घुसपैठ करने और विभिन्न हानिकारक गतिविधियों को सुविधाजनक बनाने के लिए डिज़ाइन किए गए हैं।

इस मैलवेयर की प्रारंभिक डिलीवरी विधि में फ़िशिंग ईमेल शामिल होते हैं जिनमें संलग्न अभिलेख होते हैं। इन अभिलेखों में पासवर्ड-संरक्षित वर्ड और हंगुल वर्ड प्रोसेसर दस्तावेज़ (.docx और .hwp फ़ाइलें) के साथ-साथ एक 'password.chm' Windows CHM फ़ाइल शामिल है। इसकी अत्यधिक संभावना है कि फ़िशिंग ईमेल प्राप्तकर्ताओं को दस्तावेज़ों को अनलॉक करने के लिए आवश्यक पासवर्ड प्राप्त करने के लिए सीएचएम फ़ाइल खोलने का निर्देश देते हैं। हालाँकि, पीड़ितों को इसकी जानकारी न होने पर, यह क्रिया उनके विंडोज़ उपकरणों पर संक्रमण प्रक्रिया को ट्रिगर करती है।

सीएचएम फ़ाइल खोलने पर, दस्तावेजों को अनलॉक करने के लिए एक भ्रामक संकेत कथित पासवर्ड प्रदर्शित करेगा। इसके साथ ही, फ़ाइल एक दूरस्थ पॉवरशेल स्क्रिप्ट को सावधानीपूर्वक डाउनलोड और निष्पादित करती है, जो उन्नत कार्यक्षमता के साथ पिछले दरवाजे के रूप में कार्य करती है। यह पॉवरशेल बैकडोर हमलावरों के कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार स्थापित करता है, जिससे वे दूर से समझौता किए गए सिस्टम पर कमांड निष्पादित करने में सक्षम होते हैं।

इसके अलावा, पिछला दरवाजा हमले के बाद के चरणों के दौरान एक अतिरिक्त पिछले दरवाजे की तैनाती की सुविधा प्रदान करता है जिसे 'एबलीगो बैकडोर' के नाम से जाना जाता है। यह नया बैकडोर एबली प्लेटफ़ॉर्म का लाभ उठाता है, जो एक एपीआई सेवा है जिसका उपयोग डेवलपर्स अपने अनुप्रयोगों में वास्तविक समय सुविधाओं और सूचना वितरण को शामिल करने के लिए करते हैं। एबली प्लेटफ़ॉर्म को C2 प्लेटफ़ॉर्म के रूप में उपयोग करके, खतरे वाले कलाकार निष्पादन के लिए बेस 64-एन्कोडेड कमांड को पिछले दरवाजे पर भेज सकते हैं और आउटपुट प्राप्त कर सकते हैं। यह दृष्टिकोण उन्हें वैध नेटवर्क ट्रैफ़िक के भीतर अपनी दुर्भावनापूर्ण गतिविधियों को अस्पष्ट करने की अनुमति देता है, जिससे उनके संचालन का पता लगाना और निगरानी करना अधिक चुनौतीपूर्ण हो जाता है।

'एबलीगो बैकडोर' साइबर जासूसी अभियान में एक महत्वपूर्ण भूमिका निभाता है, जो खतरे वाले अभिनेताओं को विशेषाधिकार बढ़ाने, संवेदनशील डेटा को बाहर निकालने और अतिरिक्त मैलवेयर घटकों को वितरित करने में सक्षम बनाता है। एबली जैसे वैध प्लेटफार्मों का उपयोग करके, खतरा पैदा करने वालों का लक्ष्य नेटवर्क निगरानी और सुरक्षा सॉफ़्टवेयर से बचना है, जिससे उनके हमलों की प्रभावशीलता बढ़ जाती है।

फ़ेडस्टीलर थ्रेट में धमकी देने वाली क्षमताएँ पाई गईं

बैकडोर अंततः फ़ेडस्टीलर को अंतिम पेलोड के रूप में वितरित करते हैं। यह ख़तरा एक अत्यधिक शक्तिशाली सूचना-चोरी करने वाला मैलवेयर है जिसे विशेष रूप से विंडोज़ उपकरणों के लिए डिज़ाइन किया गया है। एक बार स्थापित होने के बाद, FadeStealer इंटरनेट एक्सप्लोरर की वैध 'ieinstall.exe' प्रक्रिया में खुद को इंजेक्ट करने के लिए DLL साइडलोडिंग नामक एक तकनीक का उपयोग करता है, जो प्रभावी रूप से अपनी उपस्थिति को छुपाता है।

FadeStealer पृष्ठभूमि में गुप्त रूप से काम करता है, समझौता किए गए डिवाइस से संवेदनशील जानकारी की एक विस्तृत श्रृंखला को सावधानीपूर्वक एकत्रित करता है। 30 मिनट के नियमित अंतराल पर, मैलवेयर पीड़ित की स्क्रीन के स्क्रीनशॉट कैप्चर करता है, लॉग किए गए कीस्ट्रोक्स को रिकॉर्ड करता है, और किसी भी कनेक्टेड स्मार्टफोन या रिमूवेबल डिवाइस से फाइलें इकट्ठा करता है। इसके अलावा, FadeStealer के पास डिवाइस के माइक्रोफ़ोन के माध्यम से ऑडियो रिकॉर्ड करने की क्षमता है, जिससे हमले के पीछे के खतरनाक अभिनेताओं को बातचीत पर नज़र रखने और अतिरिक्त खुफिया जानकारी इकट्ठा करने की अनुमति मिलती है।

एकत्रित डेटा को विशिष्ट %Temp% फ़ोल्डरों में संग्रहीत किया जाता है, प्रत्येक डेटा एक्सफ़िल्ट्रेशन प्रक्रिया के भीतर एक अलग उद्देश्य को पूरा करता है। मैलवेयर द्वारा लिए गए स्क्रीनशॉट %temp%\VSTelems_Fade\NgenPdbc फ़ोल्डर में संग्रहीत किए जाते हैं, जबकि लॉग किए गए कीस्ट्रोक्स %temp%\VSTelems_Fade\NgenPdbk में संग्रहीत किए जाते हैं। %temp%\VSTelems_Fade\NgenPdbm फ़ोल्डर माइक्रोफ़ोन वायरटैपिंग के माध्यम से प्राप्त डेटा को संग्रहीत करने के लिए समर्पित है। इसके अतिरिक्त, %temp%\VSTelems_FadeIn फ़ोल्डर का उपयोग कनेक्टेड स्मार्टफोन से डेटा एकत्र करने के लिए किया जाता है, जबकि %temp%\VSTelems_FadeOut फ़ोल्डर हटाने योग्य मीडिया उपकरणों से एकत्र किए गए डेटा के लिए भंडारण स्थान के रूप में कार्य करता है। ये विशिष्ट फ़ोल्डर यह सुनिश्चित करते हैं कि एकत्र किया गया डेटा व्यवस्थित है और साइबर जासूसी अभियान चलाने वाले खतरनाक अभिनेताओं के लिए सुलभ है।

दक्षता बनाए रखने और डेटा भंडारण की सुविधा के लिए, FadeStealer RAR संग्रह फ़ाइलों में चोरी की गई जानकारी एकत्र करता है। यह मैलवेयर को चुराए गए डेटा को संपीड़ित और व्यवस्थित करने में सक्षम बनाता है, जिससे यह सुनिश्चित होता है कि यह छिपा हुआ रहता है और खतरे वाले अभिनेताओं द्वारा बाद में घुसपैठ के लिए आसानी से परिवहन योग्य होता है।