FadeStealer

A StarCruft, Reaper vagy RedEyes néven is emlegetett APT37 hackercsoportot a közelmúltban egy újonnan felfedezett, FadeStealer nevű információlopó malware használatával figyelték meg. Ez a kifinomult rosszindulatú program „lehallgatási” képességgel rendelkezik, amely lehetővé teszi a fenyegetett szereplők számára, hogy titokban lehallgatják és rögzítsék az áldozatok mikrofonjaiból származó hangot.

Az APT37-ről széles körben úgy tartják, hogy egy államilag támogatott hackercsoport, amely jelentős múlttal rendelkezik Észak-Korea érdekeinek megfelelő kiberkémkedési műveletek végrehajtásában. Célpontjaik között voltak észak-koreai disszidensek, oktatási intézmények és az Európai Unióban székhellyel rendelkező szervezetek.

A korábbi kampányokban ez a csoport egyedileg készített rosszindulatú programokat, például „Dolphin” és „ M2RAT ” alkalmazott kibertámadásai végrehajtására. Ezeket a fenyegető eszközöket kifejezetten arra tervezték, hogy beszivárogjanak a Windows-eszközökbe, beleértve a csatlakoztatott mobiltelefonokat is, és megkönnyítsék a különféle rosszindulatú tevékenységeket, például a parancsok végrehajtását, az adatlopást, a hitelesítő adatok begyűjtését és a képernyőképek rögzítését.

Egy egyedi hátsó ajtó rosszindulatú program fenyegeti a FadeStealer fenyegetést

A biztonsági kutatók a közelmúltban egy másik, az APT37 támadásai során használt egyéni kártevőről, az AblyGo backdoorról tártak fel részleteket. A FadeStealer mellett ezeket a nem kívánt eszközöket arra tervezték, hogy beszivárogjanak a célzott rendszerekbe, és elősegítsék a különféle káros tevékenységeket.

A rosszindulatú program kezdeti kézbesítési módja a csatolt archívumot tartalmazó adathalász e-mailek. Ezek az archívumok jelszóval védett Word és Hangul szövegszerkesztő dokumentumokból (.docx és .hwp fájlok), valamint egy „password.chm” Windows CHM fájlból állnak. Nagyon valószínű, hogy az adathalász e-mailek arra utasítják a címzetteket, hogy nyissa meg a CHM-fájlt, hogy megszerezze a dokumentumok zárolásának feloldásához szükséges jelszót. Ez a művelet azonban az áldozatok tudta nélkül elindítja a fertőzési folyamatot a Windows-eszközeiken.

A CHM fájl megnyitásakor megtévesztő üzenet jelenik meg a dokumentumok zárolásának feloldásához szükséges állítólagos jelszóval. Ezzel egyidejűleg a fájl diszkréten letölti és végrehajtja a távoli PowerShell-szkriptet, amely fejlett funkciókkal rendelkező hátsó ajtóként szolgál. Ez a PowerShell-hátsó ajtó kommunikációt létesít a támadók Command-and-Control (C2) kiszolgálóival, lehetővé téve számukra a parancsok távoli végrehajtását a feltört rendszeren.

Ezen túlmenően a hátsó ajtó megkönnyíti az „AblyGo backdoor” néven ismert kiegészítő hátsó ajtó telepítését a támadás későbbi szakaszaiban. Ez az új hátsó ajtó az Ably Platformot használja, egy API-szolgáltatást, amelyet a fejlesztők arra használnak, hogy valós idejű funkciókat és információszolgáltatást építsenek be alkalmazásaikba. Az Ably Platform C2 platformként való felhasználásával a fenyegetés szereplői base64 kódolású parancsokat küldhetnek a hátsó ajtónak végrehajtásra, és fogadhatják a kimenetet. Ez a megközelítés lehetővé teszi számukra, hogy elhomályosítsák rosszindulatú tevékenységeiket a törvényes hálózati forgalomban, ami még nagyobb kihívást jelent a műveleteik észlelése és figyelése.

Az „AblyGo backdoor” kulcsfontosságú szerepet játszik a kiberkémkedési kampányban, lehetővé téve a fenyegetés szereplői számára a privilégiumok eszkalációját, az érzékeny adatok kiszivárgását, és további rosszindulatú programok komponensek szállítását. A legális platformok, például az Ably felhasználásával a fenyegetés szereplői a hálózatfigyelő és biztonsági szoftverek kikerülését célozzák, ezáltal növelve támadásaik hatékonyságát.

A FadeStealer fenyegetésben talált fenyegető képességek

A hátsó ajtók végső soron a FadeStealer-t szállítják végső rakományként. A fenyegetés egy rendkívül erős információlopó rosszindulatú program, amelyet kifejezetten Windows-eszközökhöz terveztek. A telepítés után a FadeStealer a DLL sideloading nevű technikát alkalmazza, hogy beinjektálja magát az Internet Explorer legitim „ieinstall.exe” folyamatába, hatékonyan álcázva annak jelenlétét.

A FadeStealer lopva működik a háttérben, és diszkréten gyűjti be az érzékeny információk széles körét a feltört eszközről. A rosszindulatú program rendszeres, 30 perces időközönként képernyőképeket készít az áldozat képernyőjéről, rögzíti a naplózott billentyűleütéseket, és fájlokat gyűjt össze a csatlakoztatott okostelefonokról vagy cserélhető eszközökről. Ezenkívül a FadeStealer képes hangot rögzíteni az eszköz mikrofonján keresztül, így a támadás mögött fenyegető szereplők lehallgathatják a beszélgetéseket, és további hírszerzési információkat gyűjthetnek.

Az összegyűjtött adatokat meghatározott %Temp% mappákban tároljuk, amelyek mindegyike más-más célt szolgál az adatkiszűrési folyamaton belül. A kártevő által készített képernyőképek a %temp%\VSTelems_Fade\NgenPdbc mappában, míg a naplózott billentyűleütések a %temp%\VSTelems_Fade\NgenPdbk mappában tárolódnak. A %temp%\VSTelems_Fade\NgenPdbm mappa a mikrofonos lehallgatással kapott adatok tárolására szolgál. Ezenkívül a %temp%\VSTelems_FadeIn mappa a csatlakoztatott okostelefonokról származó adatok gyűjtésére szolgál, míg a %temp%\VSTelems_FadeOut mappa a cserélhető adathordozókról gyűjtött adatok tárolási helyeként szolgál. Ezek a speciális mappák biztosítják, hogy az összegyűjtött adatok rendszerezve legyenek és hozzáférhetők legyenek a kiberkémkedési kampányt irányító fenyegetés szereplői számára.

A hatékonyság fenntartása és az adattárolás megkönnyítése érdekében a FadeStealer az ellopott információkat RAR archív fájlokba gyűjti. Ez lehetővé teszi a rosszindulatú programok számára, hogy tömörítsék és rendszerezzék az ellopott adatokat, biztosítva, hogy azok rejtve maradjanak, és könnyen szállíthatók legyenek a későbbi fenyegetés szereplői általi kiszűréshez.