Vairāku licenču atlaides
Threat Database Advanced Persistent Threat (APT) FadeStealer

FadeStealer

Līdz Mezo. gadam Advanced Persistent Threat (APT), Backdoors, Malware, Stealers. gadā
Tulkot uz:
Latviešu

Datorurķēšanas grupa APT37, ko dēvē arī par StarCruft, Reaper vai RedEyes, nesen tika novērota, izmantojot jaunatklātu informācijas zagšanas ļaunprogrammatūru FadeStealer. Šajā izsmalcinātajā ļaunprātīgajā programmā ir iekļauta "telefonsarunu noklausīšanās" iespēja, kas ļauj apdraudētājiem slepeni pārtvert un ierakstīt audio no upuru mikrofoniem.

Plaši tiek uzskatīts, ka APT37 ir valsts sponsorēta hakeru grupa ar ievērojamu pieredzi Ziemeļkorejas interesēm atbilstošu kiberspiegošanas operāciju veikšanā. Viņu mērķi ir bijuši Ziemeļkorejas pārbēdzēji, izglītības iestādes un organizācijas, kas atrodas Eiropas Savienībā.

Iepriekšējās kampaņās šī grupa ir izmantojusi pielāgotas ļaunprātīgas programmatūras, piemēram, "Dolphin" un " M2RAT ", lai veiktu savus kiberuzbrukumus. Šie draudošie rīki tika īpaši izstrādāti, lai iefiltrētos Windows ierīcēs, tostarp pieslēgtos mobilajos tālruņos, un atvieglotu dažādas ļaunprātīgas darbības, piemēram, komandu izpildi, datu zādzību, akreditācijas datu iegūšanu un ekrānuzņēmumu tveršanu.

Pielāgota Backdoor ļaunprātīga programmatūra rada FadeStealer draudus

Drošības pētnieki nesen atklāja informāciju par citu pielāgotu ļaunprātīgu programmatūru, ko izmanto APT37 uzbrukumos, kas pazīstama kā AblyGo aizmugures durvis. Līdzās FadeStealer šie nevēlamie rīki ir paredzēti, lai iefiltrētos mērķsistēmās un atvieglotu dažādas kaitīgas darbības.

Šīs ļaunprātīgās programmatūras sākotnējā piegādes metode ietver pikšķerēšanas e-pasta ziņojumus, kuriem ir pievienoti arhīvi. Šie arhīvi sastāv no ar paroli aizsargātiem Word un Hangul Word Processor dokumentiem (.docx un .hwp faili), kā arī Windows CHM faila “password.chm”. Ļoti iespējams, ka pikšķerēšanas e-pastā adresātiem tiek norādīts atvērt CHM failu, lai iegūtu paroli, kas nepieciešama dokumentu atbloķēšanai. Tomēr, upuriem nezinot, šī darbība izraisa inficēšanās procesu viņu Windows ierīcēs.

Atverot CHM failu, maldinošā uzvedne parādīs iespējamo paroli, lai atbloķētu dokumentus. Vienlaikus fails diskrēti lejupielādē un izpilda attālo PowerShell skriptu, kas kalpo kā aizmugures durvis ar uzlabotu funkcionalitāti. Šīs PowerShell aizmugures durvis izveido saziņu ar uzbrucēju Command-and-Control (C2) serveriem, ļaujot tiem attālināti izpildīt komandas apdraudētajā sistēmā.

Turklāt aizmugurējās durvis atvieglo papildu aizmugures durvju, kas pazīstamas kā “AblyGo backdoor”, izvietošanu uzbrukuma vēlākajos posmos. Šīs jaunās aizmugures durvis izmanto Ably Platform — API pakalpojumu, ko izstrādātāji izmanto, lai savās lietojumprogrammās iekļautu reāllaika funkcijas un informācijas piegādi. Izmantojot Ably platformu kā C2 platformu, apdraudējuma dalībnieki var nosūtīt base64 kodētas komandas uz aizmugures durvīm izpildei un saņemt izvadi. Šī pieeja ļauj viņiem slēpt savas ļaunprātīgās darbības likumīgā tīkla trafikā, padarot to darbību atklāšanu un uzraudzību grūtāku.

"AblyGo backdoor" spēlē izšķirošu lomu kiberspiegošanas kampaņā, ļaujot apdraudējuma dalībniekiem veikt privilēģiju eskalāciju, izfiltrēt sensitīvus datus un piegādāt papildu ļaunprātīgas programmatūras komponentus. Izmantojot likumīgas platformas, piemēram, Ably, draudu dalībnieki cenšas izvairīties no tīkla uzraudzības un drošības programmatūras, tādējādi palielinot savu uzbrukumu efektivitāti.

FadeStealer draudos atrastās draudošās iespējas

Aizmugurējās durvis galu galā nodrošina FadeStealer kā pēdējo lietderīgo slodzi. Draudi ir ļoti spēcīga informācijas zagšanas ļaunprātīga programmatūra, kas īpaši izstrādāta Windows ierīcēm. Pēc instalēšanas FadeStealer izmanto paņēmienu, ko sauc par DLL sānu ielādi, lai ievadītu sevi likumīgajā Internet Explorer “ieinstall.exe” procesā, efektīvi maskējot tā klātbūtni.

FadeStealer darbojas slepeni fonā, diskrēti ievācot plašu sensitīvu informāciju no apdraudētās ierīces. Regulāros 30 minūšu intervālos ļaunprogramma tver upura ekrāna ekrānuzņēmumus, reģistrē reģistrētos taustiņsitienus un apkopo failus no visiem pievienotajiem viedtālruņiem vai noņemamām ierīcēm. Turklāt FadeStealer ir iespēja ierakstīt audio, izmantojot ierīces mikrofonu, ļaujot uzbrukumā iesaistītajiem draudiem noklausīties sarunas un iegūt papildu izlūkdatus.

Apkopotie dati tiek glabāti īpašās %Temp% mapēs, un katra datu izfiltrēšanas procesā kalpo noteiktam mērķim. Ļaunprātīgas programmatūras uzņemtie ekrānuzņēmumi tiek glabāti mapē %temp%\VSTelems_Fade\NgenPdbc, savukārt reģistrētie taustiņsitieni tiek glabāti mapē %temp%\VSTelems_Fade\NgenPdbk. Mape %temp%\VSTelems_Fade\NgenPdbm ir paredzēta datu glabāšanai, kas iegūti, noklausoties mikrofonu. Turklāt mape %temp%\VSTelems_FadeIn tiek izmantota, lai apkopotu datus no pievienotajiem viedtālruņiem, savukārt mape %temp%\VSTelems_FadeOut kalpo kā datu glabāšanas vieta no noņemamām multivides ierīcēm. Šīs īpašās mapes nodrošina, ka savāktie dati ir sakārtoti un pieejami apdraudējuma dalībniekiem, kas organizē kiberspiegošanas kampaņu.

Lai saglabātu efektivitāti un atvieglotu datu uzglabāšanu, FadeStealer apkopo nozagto informāciju RAR arhīva failos. Tas ļauj ļaunprogrammatūrai saspiest un sakārtot nozagtos datus, nodrošinot, ka tie paliek paslēpti un viegli transportējami, lai apdraudējuma dalībnieki tos varētu vēlāk izfiltrēt.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
15,882
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...