FadeStealer

Kumpulan penggodaman APT37 juga dirujuk sebagai StarCruft, Reaper atau RedEyes, baru-baru ini telah diperhatikan menggunakan perisian hasad mencuri maklumat yang baru ditemui dipanggil FadeStealer. Malware yang canggih ini menggabungkan keupayaan 'wiretapping', membolehkan pelaku ancaman memintas dan merakam audio daripada mikrofon mangsa secara rahsia.

APT37 dipercayai secara meluas sebagai kumpulan penggodaman tajaan kerajaan dengan rekod prestasi yang signifikan dalam menjalankan operasi pengintipan siber sejajar dengan kepentingan Korea Utara. Sasaran mereka termasuk pembelot Korea Utara, institusi pendidikan dan organisasi yang berpangkalan di Kesatuan Eropah.

Dalam kempen sebelumnya, kumpulan ini telah menggunakan perisian hasad buatan tersuai seperti 'Dolphin' dan ' M2RAT ' untuk melakukan serangan siber mereka. Alat yang mengancam ini direka khusus untuk menyusup masuk ke peranti Windows, termasuk telefon mudah alih yang disambungkan, dan memudahkan pelbagai aktiviti berniat jahat seperti pelaksanaan arahan, kecurian data, penuaian kelayakan dan menangkap tangkapan skrin.

Perisian Hasad Pintu Belakang Tersuai Menyampaikan Ancaman FadeStealer

Penyelidik keselamatan baru-baru ini telah menemui butiran tentang perisian hasad tersuai lain yang digunakan dalam serangan oleh APT37, yang dikenali sebagai pintu belakang AblyGo. Di samping FadeStealer, alat yang tidak diingini ini direka untuk menyusup ke sistem sasaran dan memudahkan pelbagai aktiviti berbahaya.

Kaedah penghantaran awal perisian hasad ini melibatkan e-mel pancingan data yang mengandungi arkib yang dilampirkan. Arkib ini terdiri daripada dokumen Word dan Hangul Word Processor yang dilindungi kata laluan (fail .docx dan .hwp), bersama-sama dengan fail CHM Windows 'password.chm'. Berkemungkinan besar e-mel pancingan data mengarahkan penerima untuk membuka fail CHM untuk mendapatkan kata laluan yang diperlukan untuk membuka kunci dokumen. Namun, tanpa disedari oleh mangsa, tindakan ini mencetuskan proses jangkitan pada peranti Windows mereka.

Apabila membuka fail CHM, gesaan yang mengelirukan akan memaparkan kata laluan yang didakwa untuk membuka kunci dokumen. Pada masa yang sama, fail secara diam-diam memuat turun dan melaksanakan skrip PowerShell jauh, yang berfungsi sebagai pintu belakang dengan fungsi lanjutan. Pintu belakang PowerShell ini mewujudkan komunikasi dengan pelayan Command-and-Control (C2) penyerang, membolehkan mereka melaksanakan arahan pada sistem yang terjejas dari jauh.

Tambahan pula, pintu belakang memudahkan penempatan pintu belakang tambahan yang dikenali sebagai 'pintu belakang AblyGo' semasa peringkat akhir serangan. Pintu belakang baharu ini memanfaatkan Ably Platform, perkhidmatan API yang digunakan oleh pembangun untuk menggabungkan ciri masa nyata dan penyampaian maklumat ke dalam aplikasi mereka. Dengan menggunakan Platform Ably sebagai platform C2, pelaku ancaman boleh menghantar arahan berkod base64 ke pintu belakang untuk dilaksanakan dan menerima output. Pendekatan ini membolehkan mereka mengelirukan aktiviti jahat mereka dalam trafik rangkaian yang sah, menjadikannya lebih mencabar untuk mengesan dan memantau operasi mereka.

'Pintu belakang AblyGo' memainkan peranan penting dalam kempen pengintipan siber, membolehkan pelaku ancaman melakukan peningkatan keistimewaan, mengeluarkan data sensitif dan menghantar komponen perisian hasad tambahan. Dengan menggunakan platform yang sah seperti Ably, pelaku ancaman bertujuan untuk mengelak pemantauan rangkaian dan perisian keselamatan, dengan itu meningkatkan keberkesanan serangan mereka.

Keupayaan Mengancam Ditemui dalam Ancaman FadeStealer

Pintu belakang akhirnya menyampaikan FadeStealer sebagai muatan akhir. Ancaman itu ialah perisian hasad mencuri maklumat yang sangat kuat yang direka khusus untuk peranti Windows. Setelah dipasang, FadeStealer menggunakan teknik yang dipanggil sideloading DLL untuk menyuntik dirinya ke dalam proses 'ieinstall.exe' yang sah di Internet Explorer, dengan berkesan menyamarkan kehadirannya.

FadeStealer beroperasi secara senyap di latar belakang, secara diam-diam menuai pelbagai maklumat sensitif daripada peranti yang terjejas. Pada selang masa yang tetap selama 30 minit, perisian hasad menangkap tangkapan skrin skrin mangsa, merekodkan ketukan kekunci yang dilog dan mengumpul fail daripada mana-mana telefon pintar yang disambungkan atau peranti boleh tanggal. Tambahan pula, FadeStealer mempunyai keupayaan untuk merakam audio melalui mikrofon peranti, membenarkan pelakon ancaman di sebalik serangan itu untuk mencuri dengar perbualan dan mengumpulkan risikan tambahan.

Data yang dikumpul disimpan dalam folder %Temp% tertentu, setiap satu mempunyai tujuan yang berbeza dalam proses exfiltrasi data. Tangkapan skrin yang diambil oleh perisian hasad disimpan dalam folder %temp%\VSTelems_Fade\NgenPdbc, manakala ketukan kekunci yang dilog disimpan dalam %temp%\VSTelems_Fade\NgenPdbk. Folder %temp%\VSTelems_Fade\NgenPdbm dikhaskan untuk menyimpan data yang diperoleh melalui wiretapping mikrofon. Selain itu, folder %temp%\VSTelems_FadeIn digunakan untuk mengumpul data daripada telefon pintar yang disambungkan, manakala folder %temp%\VSTelems_FadeOut berfungsi sebagai lokasi storan untuk data yang dikumpulkan daripada peranti media boleh alih keluar. Folder khusus ini memastikan bahawa data yang dikumpul adalah teratur dan boleh diakses oleh pelaku ancaman yang mengatur kempen pengintipan siber.

Untuk mengekalkan kecekapan dan memudahkan penyimpanan data, FadeStealer mengumpul maklumat yang dicuri dalam fail arkib RAR. Ini membolehkan perisian hasad untuk memampatkan dan mengatur data yang dicuri, memastikan ia kekal tersembunyi dan mudah diangkut untuk penyusupan berikutnya oleh pelaku ancaman.