페이드스틸러

StarCruft, Reaper 또는 RedEyes라고도 불리는 해킹 그룹 APT37은 최근 새로 발견된 정보 탈취 악성코드인 FadeStealer를 사용하는 것이 관찰되었습니다. 이 정교한 맬웨어는 '도청' 기능을 통합하여 위협 행위자가 피해자의 마이크에서 나오는 오디오를 비밀리에 가로채서 녹음할 수 있도록 합니다.

APT37은 북한의 이익에 부합하는 사이버 스파이 활동을 수행한 상당한 실적을 가진 국가 지원 해킹 그룹으로 널리 알려져 있습니다. 그들의 목표는 탈북자, 교육 기관 및 유럽 연합에 기반을 둔 조직을 포함했습니다.

이전 캠페인에서 이 그룹은 사이버 공격을 수행하기 위해 'Dolphin' 및 ' M2RAT '와 같은 맞춤형 멀웨어를 사용했습니다. 이러한 위협적인 도구는 연결된 휴대폰을 포함한 Windows 장치에 침투하고 명령 실행, 데이터 도용, 자격 증명 수집 및 스크린샷 캡처와 같은 다양한 악의적인 활동을 용이하게 하도록 특별히 설계되었습니다.

커스텀 백도어 멀웨어가 FadeStealer 위협 제공

보안 연구원들은 최근 AblyGo 백도어로 알려진 APT37의 공격에 사용된 또 다른 맞춤형 멀웨어에 대한 세부 정보를 발견했습니다. FadeStealer와 함께 이러한 원치 않는 도구는 대상 시스템에 침투하고 다양한 유해 활동을 촉진하도록 설계되었습니다.

이 맬웨어의 초기 전달 방법은 첨부된 아카이브가 포함된 피싱 이메일을 포함합니다. 이 아카이브는 'password.chm' Windows CHM 파일과 함께 암호로 보호된 워드 및 한글 워드 프로세서 문서(.docx 및 .hwp 파일)로 구성됩니다. 피싱 이메일은 수신자에게 문서 잠금을 해제하는 데 필요한 암호를 얻기 위해 CHM 파일을 열도록 지시할 가능성이 높습니다. 그러나 피해자가 모르는 사이에 이 작업은 Windows 장치에서 감염 프로세스를 트리거합니다.

CHM 파일을 열면 사기성 프롬프트에 문서 잠금을 해제하기 위한 암호가 표시됩니다. 동시에 파일은 고급 기능이 있는 백도어 역할을 하는 원격 PowerShell 스크립트를 신중하게 다운로드하고 실행합니다. 이 PowerShell 백도어는 공격자의 명령 및 제어(C2) 서버와 통신을 설정하여 공격자가 손상된 시스템에서 원격으로 명령을 실행할 수 있도록 합니다.

또한 백도어는 공격 후반 단계에서 'AblyGo 백도어'로 알려진 추가 백도어 배포를 용이하게 합니다. 이 새로운 백도어는 개발자가 실시간 기능과 정보 전달을 애플리케이션에 통합하는 데 활용하는 API 서비스인 Ably 플랫폼을 활용합니다. Ably 플랫폼을 C2 플랫폼으로 활용함으로써 공격자는 실행을 위해 base64로 인코딩된 명령을 백도어로 보내고 출력을 받을 수 있습니다. 이 접근 방식을 사용하면 합법적인 네트워크 트래픽 내에서 악의적인 활동을 난독화할 수 있으므로 작업을 감지하고 모니터링하기가 더 어려워집니다.

'AblyGo 백도어'는 사이버 스파이 캠페인에서 중요한 역할을 하며 위협 행위자가 권한 상승을 수행하고 민감한 데이터를 유출하며 추가 멀웨어 구성 요소를 전달할 수 있도록 합니다. 위협 행위자는 Ably와 같은 합법적인 플랫폼을 활용하여 네트워크 모니터링 및 보안 소프트웨어를 회피하여 공격의 효율성을 높이는 것을 목표로 합니다.

FadeStealer 위협에서 발견된 위협적인 기능

백도어는 궁극적으로 FadeStealer를 최종 페이로드로 전달합니다. 이 위협은 Windows 장치용으로 특별히 설계된 매우 강력한 정보 탈취 맬웨어입니다. 일단 설치되면 FadeStealer는 DLL 사이드로딩이라는 기술을 사용하여 Internet Explorer의 합법적인 'ieinstall.exe' 프로세스에 자신을 삽입하여 그 존재를 효과적으로 위장합니다.

FadeStealer는 백그라운드에서 은밀하게 작동하여 손상된 장치에서 다양한 민감한 정보를 조심스럽게 수집합니다. 이 악성코드는 30분의 일정한 간격으로 피해자 화면의 스크린샷을 캡처하고, 기록된 키 입력을 기록하고, 연결된 스마트폰이나 이동식 장치에서 파일을 수집합니다. 또한 FadeStealer는 장치의 마이크를 통해 오디오를 녹음할 수 있으므로 공격 배후의 공격자가 대화를 도청하고 추가 정보를 수집할 수 있습니다.

수집된 데이터는 특정 %Temp% 폴더에 저장되며 각 폴더는 데이터 유출 프로세스 내에서 고유한 용도로 사용됩니다. 악성코드가 찍은 스크린샷은 %temp%\VSTelems_Fade\NgenPdbc 폴더에 저장되며, 기록된 키 입력은 %temp%\VSTelems_Fade\NgenPdbk에 저장됩니다. %temp%\VSTelems_Fade\NgenPdbm 폴더는 마이크 도청을 통해 얻은 데이터를 저장하는 전용 폴더입니다. 또한 %temp%\VSTelems_FadeIn 폴더는 연결된 스마트폰에서 데이터를 수집하는 데 사용되며, %temp%\VSTelems_FadeOut 폴더는 이동식 미디어 장치에서 수집한 데이터의 저장 위치 역할을 합니다. 이러한 특정 폴더는 수집된 데이터를 구성하고 사이버 스파이 캠페인을 조율하는 위협 행위자가 액세스할 수 있도록 합니다.

효율성을 유지하고 데이터 저장을 용이하게 하기 위해 FadeStealer는 RAR 아카이브 파일에서 훔친 정보를 수집합니다. 이를 통해 맬웨어는 훔친 데이터를 압축 및 구성하여 위협 행위자가 후속 유출을 위해 은폐되고 쉽게 이동할 수 있도록 합니다.