Kelių licencijų nuolaidos
Threat Database Advanced Persistent Threat (APT) FadeStealer

FadeStealer

Autorius Mezo, Advanced Persistent Threat (APT), Backdoors, Malware, Stealers
Versti į:
Lietuvių

Įsilaužimų grupė APT37, dar vadinama StarCruft, Reaper arba RedEyes, neseniai buvo pastebėta naudojant naujai atrastą informaciją vagiančią kenkėjišką programą, pavadintą FadeStealer. Ši sudėtinga kenkėjiška programinė įranga turi „telefonų pasiklausymo“ galimybę, leidžiančią grėsmės veikėjams slapta perimti ir įrašyti garsą iš aukų mikrofonų.

Manoma, kad APT37 yra valstybės remiama programišių grupė, turinti didelę patirtį vykdant kibernetinio šnipinėjimo operacijas, atitinkančias Šiaurės Korėjos interesus. Jų taikiniai buvo Šiaurės Korėjos perbėgėliai, švietimo įstaigos ir organizacijos, įsikūrusios Europos Sąjungoje.

Ankstesnėse kampanijose ši grupė savo kibernetinėms atakoms vykdyti naudojo specialiai sukurtas kenkėjiškas programas, tokias kaip „Dolphin“ ir „ M2RAT “. Šios grėsmingos priemonės buvo specialiai sukurtos įsiskverbti į Windows įrenginius, įskaitant prijungtus mobiliuosius telefonus, ir palengvinti įvairią kenkėjišką veiklą, pvz., komandų vykdymą, duomenų vagystę, kredencialų rinkimą ir ekrano kopijų fiksavimą.

Pasirinktinė Backdoor kenkėjiška programa kelia „FadeStealer“ grėsmę

Saugumo tyrinėtojai neseniai atskleidė informaciją apie kitą pritaikytą kenkėjišką programą, naudojamą APT37 atakoms, žinomą kaip AblyGo backdoor. Kartu su FadeStealer, šie nepageidaujami įrankiai yra skirti įsiskverbti į tikslines sistemas ir palengvinti įvairią žalingą veiklą.

Pradinis šios kenkėjiškos programos pristatymo būdas apima sukčiavimo el. laiškus, kuriuose yra pridėtų archyvų. Šiuos archyvus sudaro slaptažodžiu apsaugoti Word ir Hangul Word Processor dokumentai (.docx ir .hwp failai) kartu su „password.chm“ Windows CHM failu. Labai tikėtina, kad sukčiavimo el. laiškai nurodo gavėjams atidaryti CHM failą, kad gautų slaptažodį, reikalingą dokumentams atrakinti. Tačiau aukoms to nežinant, šis veiksmas suaktyvina infekcijos procesą jų „Windows“ įrenginiuose.

Atidarius CHM failą, apgaulingas raginimas bus rodomas tariamas slaptažodis, skirtas atrakinti dokumentus. Tuo pačiu metu failas diskretiškai atsisiunčia ir vykdo nuotolinį „PowerShell“ scenarijų, kuris tarnauja kaip užpakalinės durys su išplėstinėmis funkcijomis. Šios „PowerShell“ užpakalinės durys užmezga ryšį su užpuolikų komandų ir valdymo (C2) serveriais, leidžiančiais nuotoliniu būdu vykdyti komandas pažeistoje sistemoje.

Be to, užpakalinės durys palengvina papildomų galinių durų, žinomų kaip „AblyGo backdoor“, diegimą vėlesniuose atakos etapuose. Šios naujos užpakalinės durys naudoja „Ably Platform“ – API paslaugą, kurią kūrėjai naudoja, kad į savo programas įtrauktų realaus laiko funkcijas ir informacijos pateikimą. Naudodami Ably platformą kaip C2 platformą, grėsmės veikėjai gali siųsti base64 koduotas komandas į galines duris vykdyti ir gauti išvestį. Šis metodas leidžia jiems užmaskuoti savo kenkėjišką veiklą teisėtame tinklo sraute, todėl aptikti ir stebėti jų operacijas tampa sudėtingiau.

„AblyGo backdoor“ vaidina lemiamą vaidmenį kibernetinio šnipinėjimo kampanijoje, todėl grėsmės veikėjai gali vykdyti privilegijų eskalavimą, išfiltruoti neskelbtinus duomenis ir pateikti papildomų kenkėjiškų programų komponentų. Naudodami teisėtas platformas, tokias kaip „Ably“, grėsmės veikėjai siekia išvengti tinklo stebėjimo ir saugos programinės įrangos, taip padidindami savo atakų efektyvumą.

„FadeStealer“ grėsme aptiktos grėsmingos galimybės

Galinės durys galiausiai suteikia „FadeStealer“ kaip galutinę naudingąją apkrovą. Grėsmė yra labai stipri informaciją vagianti kenkėjiška programa, sukurta specialiai „Windows“ įrenginiams. Įdiegęs „FadeStealer“ naudoja techniką, vadinamą DLL šoniniu įkėlimu, kad įsiterptų į teisėtą „Internet Explorer“ „ieinstall.exe“ procesą ir veiksmingai užmaskuotų jo buvimą.

„FadeStealer“ veikia slaptai fone, diskretiškai renkant platų jautrios informacijos spektrą iš pažeisto įrenginio. Reguliariai kas 30 minučių kenkėjiška programa fiksuoja aukos ekrano ekrano kopijas, įrašo užregistruotus klavišų paspaudimus ir renka failus iš bet kurių prijungtų išmaniųjų telefonų ar keičiamų įrenginių. Be to, „FadeStealer“ turi galimybę įrašyti garsą per įrenginio mikrofoną, todėl atakos grėsmės veikėjai gali pasiklausyti pokalbių ir surinkti papildomos žvalgybos informacijos.

Surinkti duomenys saugomi tam tikruose %Temp% aplankuose, kurių kiekvienas atlieka tam tikrą tikslą duomenų išfiltravimo procese. Kenkėjiškos programos padarytos ekrano kopijos saugomos aplanke %temp%\VSTelems_Fade\NgenPdbc, o užregistruoti klavišų paspaudimai – %temp%\VSTelems_Fade\NgenPdbk. %temp%\VSTelems_Fade\NgenPdbm aplankas skirtas duomenims, gautiems pasiklausant mikrofono, saugoti. Be to, aplankas %temp%\VSTelems_FadeIn naudojamas duomenims iš prijungtų išmaniųjų telefonų rinkti, o aplankas %temp%\VSTelems_FadeOut naudojamas kaip duomenų, surinktų iš keičiamųjų laikmenų įrenginių, saugojimo vieta. Šie konkretūs aplankai užtikrina, kad surinkti duomenys būtų sutvarkyti ir prieinami grėsmės veikėjams, organizuojantiems kibernetinio šnipinėjimo kampaniją.

Siekdama išlaikyti efektyvumą ir palengvinti duomenų saugojimą, „FadeStealer“ renka pavogtą informaciją į RAR archyvo failus. Tai leidžia kenkėjiškajai programai suspausti ir tvarkyti pagrobtus duomenis, užtikrinant, kad jie liktų paslėpti ir lengvai transportuojami, kad vėliau juos galėtų išfiltruoti grėsmės veikėjai.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
15,882
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...