FadeStealer

Hackinggruppen APT37 også referert til som StarCruft, Reaper eller RedEyes, har nylig blitt observert ved å bruke en nyoppdaget informasjonsstjelende skadelig programvare kalt FadeStealer. Denne sofistikerte skadelige programvaren har en "avlytting"-funksjon, som gjør det mulig for trusselaktørene å avskjære og ta opp lyd fra ofrenes mikrofoner i hemmelighet.

APT37 er allment antatt å være en statsstøttet hackergruppe med en betydelig merittliste i å utføre cyberspionasjeoperasjoner i tråd med Nord-Koreas interesser. Deres mål har inkludert nordkoreanske avhoppere, utdanningsinstitusjoner og organisasjoner basert i EU.

I tidligere kampanjer har denne gruppen brukt skreddersydd skadevare som «Dolphin» og « M2RAT » for å utføre sine cyberangrep. Disse truende verktøyene ble spesielt utviklet for å infiltrere Windows-enheter, inkludert tilkoblede mobiltelefoner, og tilrettelegge for ulike ondsinnede aktiviteter som kommandoutførelse, datatyveri, innhenting av legitimasjon og ta skjermbilder.

En tilpasset bakdør-malware leverer FadeStealer-trusselen

Sikkerhetsforskere har nylig avdekket detaljer om en annen tilpasset skadelig programvare som brukes i angrep fra APT37, kjent som AblyGo-bakdøren. Ved siden av FadeStealer er disse uønskede verktøyene designet for å infiltrere målrettede systemer og tilrettelegge for ulike skadelige aktiviteter.

Den første leveringsmetoden for denne skadelige programvaren involverer phishing-e-poster som inneholder vedlagte arkiver. Disse arkivene består av passordbeskyttede Word- og Hangul-tekstbehandlerdokumenter (.docx- og .hwp-filer), sammen med en 'password.chm' Windows CHM-fil. Det er høyst sannsynlig at phishing-e-postene ber mottakerne om å åpne CHM-filen for å få passordet som kreves for å låse opp dokumentene. Ukjent for ofrene, utløser denne handlingen imidlertid infeksjonsprosessen på deres Windows-enheter.

Når CHM-filen åpnes, vil en villedende melding vise det påståtte passordet for å låse opp dokumentene. Samtidig laster filen diskret ned og kjører et eksternt PowerShell-skript, som fungerer som en bakdør med avansert funksjonalitet. Denne PowerShell-bakdøren etablerer kommunikasjon med angripernes Command-and-Control (C2)-servere, slik at de kan utføre kommandoer på det kompromitterte systemet eksternt.

Videre letter bakdøren utplasseringen av en ekstra bakdør kjent som 'AblyGo-bakdøren' under de senere stadiene av angrepet. Denne nye bakdøren utnytter Ably-plattformen, en API-tjeneste som utviklere bruker for å inkorporere sanntidsfunksjoner og informasjonslevering i applikasjonene sine. Ved å bruke Ably-plattformen som en C2-plattform, kan trusselaktørene sende base64-kodede kommandoer til bakdøren for utførelse og motta utdata. Denne tilnærmingen lar dem skjule ondsinnede aktiviteter innenfor legitim nettverkstrafikk, noe som gjør det mer utfordrende å oppdage og overvåke operasjonene deres.

'AblyGo-bakdøren' spiller en avgjørende rolle i cyberspionasjekampanjen, og gjør det mulig for trusselaktørene å gjennomføre rettighetseskalering, eksfiltrere sensitive data og levere ytterligere skadevarekomponenter. Ved å bruke legitime plattformer som Ably, tar trusselaktørene sikte på å unngå nettverksovervåking og sikkerhetsprogramvare, og dermed øke effektiviteten til angrepene deres.

De truende egenskapene funnet i FadeStealer-trusselen

Bakdørene leverer til slutt FadeStealer som en siste nyttelast. Trusselen er en svært potent informasjonsstjelende skadelig programvare designet spesielt for Windows-enheter. Når den er installert, bruker FadeStealer en teknikk kalt DLL-sidelasting for å injisere seg selv i den legitime 'ieinstall.exe'-prosessen til Internet Explorer, og effektivt kamuflere dens tilstedeværelse.

FadeStealer opererer snikende i bakgrunnen, og høster diskret et bredt spekter av sensitiv informasjon fra den kompromitterte enheten. Med jevne mellomrom på 30 minutter tar skadevaren skjermbilder av offerets skjerm, registrerer loggede tastetrykk og samler filer fra alle tilkoblede smarttelefoner eller flyttbare enheter. Videre har FadeStealer muligheten til å ta opp lyd gjennom enhetens mikrofon, slik at trusselaktørene bak angrepet kan avlytte samtaler og samle ytterligere etterretning.

De innsamlede dataene lagres i spesifikke %Temp%-mapper, som hver tjener et eget formål innenfor dataeksfiltreringsprosessen. Skjermbilder tatt av skadelig programvare lagres i mappen %temp%\VSTelems_Fade\NgenPdbc, mens loggede tastetrykk lagres i %temp%\VSTelems_Fade\NgenPdbk. %temp%\VSTelems_Fade\NgenPdbm-mappen er dedikert til å lagre data hentet gjennom mikrofonavlytting. I tillegg brukes mappen %temp%\VSTelems_FadeIn for å samle inn data fra tilkoblede smarttelefoner, mens mappen %temp%\VSTelems_FadeOut fungerer som lagringssted for data samlet fra flyttbare medieenheter. Disse spesifikke mappene sikrer at de innsamlede dataene er organisert og tilgjengelig for trusselaktørene som orkestrerer cyberspionasjekampanjen.

For å opprettholde effektiviteten og lette datalagring, samler FadeStealer den stjålne informasjonen i RAR-arkivfiler. Dette gjør det mulig for skadelig programvare å komprimere og organisere de stjålne dataene, og sikre at de forblir skjult og lett transporterbare for påfølgende eksfiltrering av trusselaktørene.