FadeStealer

Hakerska skupina APT37 koja se također naziva StarCruft, Reaper ili RedEyes nedavno je primijećena kako koristi novootkriveni malware za krađu informacija pod nazivom FadeStealer. Ovaj sofisticirani zlonamjerni softver uključuje mogućnost 'prisluškivanja', omogućujući akterima prijetnje da tajno presretnu i snimaju zvuk s mikrofona žrtava.

Općenito se vjeruje da je APT37 hakerska skupina koju sponzorira država sa značajnim iskustvom u provođenju operacija kibernetičke špijunaže usklađenih s interesima Sjeverne Koreje. Njihove su mete uključivale sjevernokorejske prebjege, obrazovne ustanove i organizacije sa sjedištem u Europskoj uniji.

U prethodnim kampanjama ova je grupa koristila prilagođeni zlonamjerni softver poput 'Dolphin' i ' M2RAT ' za izvođenje svojih cyber napada. Ovi prijeteći alati posebno su dizajnirani za infiltraciju u Windows uređaje, uključujući povezane mobilne telefone, i omogućavanje raznih zlonamjernih aktivnosti kao što su izvršavanje naredbi, krađa podataka, prikupljanje vjerodajnica i snimanje snimki zaslona.

Prilagođeni backdoor zlonamjerni softver isporučuje prijetnju FadeStealer

Sigurnosni istraživači nedavno su otkrili detalje o još jednom prilagođenom zlonamjernom softveru koji se koristi u napadima od strane APT37, poznatom kao AblyGo backdoor. Uz FadeStealer, ovi su neželjeni alati dizajnirani za infiltraciju u ciljane sustave i omogućavanje raznih štetnih aktivnosti.

Početna metoda isporuke ovog zlonamjernog softvera uključuje phishing e-poštu koja sadrži priložene arhive. Ove se arhive sastoje od Word i Hangul Word Processor dokumenata zaštićenih lozinkom (.docx i .hwp datoteke), zajedno s 'password.chm' Windows CHM datotekom. Vrlo je vjerojatno da phishing e-poruke upućuju primatelje da otvore CHM datoteku kako bi dobili lozinku potrebnu za otključavanje dokumenata. Međutim, bez znanja žrtava, ova radnja pokreće proces infekcije na njihovim Windows uređajima.

Nakon otvaranja CHM datoteke, obmanjujući upit prikazat će navodnu lozinku za otključavanje dokumenata. Istovremeno, datoteka diskretno preuzima i izvršava udaljenu PowerShell skriptu, koja služi kao backdoor s naprednom funkcionalnošću. Ovaj PowerShell backdoor uspostavlja komunikaciju s napadačevim Command-and-Control (C2) poslužiteljima, omogućujući im da daljinski izvršavaju naredbe na kompromitiranom sustavu.

Nadalje, stražnja vrata olakšavaju postavljanje dodatnih stražnjih vrata poznatih kao 'AblyGo stražnja vrata' tijekom kasnijih faza napada. Ovaj novi backdoor koristi platformu Ably, API uslugu koju programeri koriste za uključivanje značajki u stvarnom vremenu i isporuku informacija u svoje aplikacije. Korištenjem platforme Ably kao C2 platforme, akteri prijetnji mogu slati base64 kodirane naredbe na stražnja vrata za izvršenje i primati izlaz. Ovaj im pristup omogućuje da prikriju svoje zlonamjerne aktivnosti unutar legitimnog mrežnog prometa, čineći otkrivanje i nadzor njihovih operacija još većim izazovom.

'AblyGo backdoor' igra ključnu ulogu u kampanji kibernetičke špijunaže, omogućujući akterima prijetnji da provedu eskalaciju privilegija, izvuku osjetljive podatke i isporuče dodatne komponente zlonamjernog softvera. Korištenjem legitimnih platformi kao što je Ably, akteri prijetnji imaju za cilj izbjeći nadzor mreže i sigurnosni softver, čime povećavaju učinkovitost svojih napada.

Prijeteće mogućnosti koje se nalaze u prijetnji FadeStealer

Stražnja vrata na kraju isporučuju FadeStealer kao konačni korisni teret. Prijetnja je vrlo potentan zlonamjerni softver za krađu informacija dizajniran posebno za Windows uređaje. Jednom instaliran, FadeStealer koristi tehniku zvanu DLL bočno učitavanje kako bi se ubacio u legitiman proces 'ieinstall.exe' Internet Explorera, učinkovito kamuflirajući svoju prisutnost.

FadeStealer radi tajno u pozadini, diskretno skupljajući širok raspon osjetljivih informacija s kompromitiranog uređaja. U redovitim intervalima od 30 minuta, zlonamjerni softver snima snimke zaslona žrtve, bilježi pritisnute tipke i prikuplja datoteke sa svih povezanih pametnih telefona ili prijenosnih uređaja. Nadalje, FadeStealer posjeduje mogućnost snimanja zvuka putem mikrofona uređaja, omogućujući akterima prijetnje koji stoje iza napada da prisluškuju razgovore i prikupe dodatne obavještajne podatke.

Prikupljeni podaci pohranjuju se u posebne %Temp% mape, od kojih svaka služi različitoj svrsi unutar procesa ekstrakcije podataka. Snimke zaslona koje je napravio zlonamjerni softver pohranjuju se u mapi %temp%\VSTelems_Fade\NgenPdbc, dok se zabilježeni pritisci tipki pohranjuju u %temp%\VSTelems_Fade\NgenPdbk. Mapa %temp%\VSTelems_Fade\NgenPdbm namijenjena je pohrani podataka dobivenih prisluškivanjem mikrofona. Dodatno, mapa %temp%\VSTelems_FadeIn koristi se za prikupljanje podataka s povezanih pametnih telefona, dok mapa %temp%\VSTelems_FadeOut služi kao mjesto za pohranu podataka prikupljenih s prijenosnih medijskih uređaja. Ove posebne mape osiguravaju da su prikupljeni podaci organizirani i dostupni akterima prijetnji koji orkestriraju kampanju kibernetičke špijunaže.

Kako bi održao učinkovitost i olakšao pohranu podataka, FadeStealer prikuplja ukradene informacije u RAR arhivskim datotekama. To omogućuje zlonamjernom softveru komprimiranje i organiziranje ukradenih podataka, osiguravajući da oni ostanu skriveni i laki za prijenos za kasniju eksfiltraciju od strane prijetnji.