FadeStealer
ह्याकिङ समूह APT37 लाई StarCruft, Reaper, वा RedEyes पनि भनिन्छ, भर्खरै फेडस्टीलर भनिने नयाँ पत्ता लागेको जानकारी चोर्ने मालवेयर प्रयोग गरेर अवलोकन गरिएको छ। यो परिष्कृत मालवेयरले 'वायरट्यापिङ' क्षमता समावेश गर्दछ, जसले धम्की दिने व्यक्तिहरूलाई पीडितहरूको माइक्रोफोनबाट गोप्य रूपमा अडियोलाई रोक्न र रेकर्ड गर्न सक्षम पार्छ।
APT37 लाई उत्तर कोरियाको हितसँग मिलाएर साइबर जासूसी कार्यहरू सञ्चालन गर्ने महत्त्वपूर्ण ट्र्याक रेकर्डको साथ राज्य-प्रायोजित ह्याकिङ समूहको रूपमा व्यापक रूपमा विश्वास गरिन्छ। तिनीहरूको लक्ष्यमा उत्तर कोरियाली दलहरू, शैक्षिक संस्थाहरू, र युरोपेली संघमा आधारित संगठनहरू समावेश छन्।
अघिल्ला अभियानहरूमा, यो समूहले आफ्नो साइबर आक्रमणहरू गर्न 'डल्फिन' र ' M2RAT ' जस्ता कस्टम-मेड मालवेयरहरू प्रयोग गरेको छ। यी धम्की दिने उपकरणहरू विशेष रूपमा जडान गरिएका मोबाइल फोनहरू लगायत विन्डोज उपकरणहरूमा घुसपैठ गर्न, र आदेश कार्यान्वयन, डाटा चोरी, प्रमाण सङ्कलन, र स्क्रिनसटहरू खिच्ने जस्ता विभिन्न दुर्भावनापूर्ण गतिविधिहरूलाई सहज बनाउन डिजाइन गरिएका थिए।
कस्टम ब्याकडोर मालवेयरले FadeStealer थ्रेट डेलिभर गर्छ
सुरक्षा अनुसन्धानकर्ताहरूले भर्खरै APT37 द्वारा आक्रमणहरूमा प्रयोग गरिएको अर्को कस्टम मालवेयरको बारेमा विवरणहरू पत्ता लगाएका छन्, जसलाई AblyGo ब्याकडोर भनिन्छ। FadeStealer सँगसँगै, यी नचाहिने उपकरणहरू लक्षित प्रणालीहरूमा घुसपैठ गर्न र विभिन्न हानिकारक गतिविधिहरूलाई सहज बनाउन डिजाइन गरिएका छन्।
यस मालवेयरको प्रारम्भिक डेलिभरी विधिले संलग्न अभिलेखहरू समावेश गर्ने फिसिङ इमेलहरू समावेश गर्दछ। यी अभिलेखहरूमा पासवर्ड-सुरक्षित वर्ड र हङ्गुल वर्ड प्रोसेसर कागजातहरू (.docx र .hwp फाइलहरू) समावेश छन्, साथै 'password.chm' Windows CHM फाइलहरू छन्। यो धेरै सम्भावना छ कि फिसिङ इमेलहरूले प्राप्तकर्ताहरूलाई कागजातहरू अनलक गर्न आवश्यक पासवर्ड प्राप्त गर्न CHM फाइल खोल्न निर्देशन दिन्छ। यद्यपि, पीडितहरूलाई थाहा नभएको, यो कार्यले तिनीहरूको विन्डोज उपकरणहरूमा संक्रमण प्रक्रिया ट्रिगर गर्दछ।
CHM फाइल खोल्दा, भ्रामक प्रम्प्टले कागजातहरू अनलक गर्न कथित पासवर्ड प्रदर्शन गर्नेछ। एकै साथ, फाइलले सावधानीपूर्वक डाउनलोड गर्दछ र रिमोट PowerShell स्क्रिप्ट कार्यान्वयन गर्दछ, जसले उन्नत कार्यक्षमताको साथ ब्याकडोरको रूपमा काम गर्दछ। यो PowerShell ब्याकडोरले आक्रमणकारीहरूको कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरहरूसँग सञ्चार स्थापना गर्दछ, तिनीहरूलाई सम्झौता प्रणालीमा टाढाबाट आदेशहरू कार्यान्वयन गर्न सक्षम पार्दै।
यसबाहेक, ब्याकडोरले आक्रमणको पछिल्लो चरणहरूमा 'AblyGo ब्याकडोर' भनेर चिनिने अतिरिक्त ब्याकडोरको तैनातीलाई सहज बनाउँछ। यो नयाँ ब्याकडोरले Ably प्लेटफर्मको लाभ उठाउँछ, एक API सेवा जुन विकासकर्ताहरूले उनीहरूको अनुप्रयोगहरूमा वास्तविक-समय सुविधाहरू र सूचना डेलिभरीहरू समावेश गर्न प्रयोग गर्छन्। Ably प्लेटफर्मलाई C2 प्लेटफर्मको रूपमा प्रयोग गरेर, खतरा अभिनेताहरूले कार्यान्वयनको लागि ब्याकडोरमा base64-इन्कोडेड आदेशहरू पठाउन र आउटपुट प्राप्त गर्न सक्छन्। यो दृष्टिकोणले तिनीहरूलाई वैध नेटवर्क ट्राफिक भित्र तिनीहरूका दुर्भावनापूर्ण गतिविधिहरूलाई अस्पष्ट गर्न अनुमति दिन्छ, यसले तिनीहरूको सञ्चालनहरू पत्ता लगाउन र निगरानी गर्न थप चुनौतीपूर्ण बनाउँछ।
'AblyGo ब्याकडोर' ले साइबर जासूसी अभियानमा महत्त्वपूर्ण भूमिका खेल्छ, जसले खतरा कर्ताहरूलाई विशेषाधिकार वृद्धि गर्न, संवेदनशील डेटा बाहिर निकाल्न र अतिरिक्त मालवेयर कम्पोनेन्टहरू प्रदान गर्न सक्षम बनाउँछ। Ably जस्ता वैध प्लेटफर्महरू प्रयोग गरेर, खतरा अभिनेताहरूले नेटवर्क निगरानी र सुरक्षा सफ्टवेयरबाट बच्ने लक्ष्य राख्छन्, जसले गर्दा उनीहरूको आक्रमणको प्रभावकारिता बढ्छ।
FadeStealer थ्रेटमा पाइने धम्की दिने क्षमताहरू
ब्याकडोरहरूले अन्ततः FadeStealer लाई अन्तिम पेलोडको रूपमा डेलिभर गर्छ। खतरा भनेको विन्डोज यन्त्रहरूका लागि विशेष रूपमा डिजाइन गरिएको अत्यधिक शक्तिशाली जानकारी-चोरी मालवेयर हो। एक पटक स्थापना भएपछि, FadeStealer ले इन्टरनेट एक्सप्लोररको वैध 'ieinstall.exe' प्रक्रियामा इन्जेक्सन गर्न DLL साइडलोडिङ भनिने प्रविधि प्रयोग गर्छ, प्रभावकारी रूपमा यसको उपस्थिति छद्म गर्दै।
FadeStealer ले पृष्ठभूमिमा चुपचाप सञ्चालन गर्दछ, सावधानीपूर्वक सम्झौता गरिएको यन्त्रबाट संवेदनशील जानकारीको विस्तृत दायरा सङ्कलन गर्दछ। 30 मिनेटको नियमित अन्तरालमा, मालवेयरले पीडितको स्क्रिनको स्क्रिनसटहरू खिच्दछ, लग गरिएका किस्ट्रोकहरू रेकर्ड गर्दछ, र कुनै पनि जडान भएका स्मार्टफोनहरू वा हटाउन सकिने उपकरणहरूबाट फाइलहरू सङ्कलन गर्दछ। यसबाहेक, FadeStealer सँग यन्त्रको माइक्रोफोन मार्फत अडियो रेकर्ड गर्ने क्षमता छ, जसले आक्रमणको पछाडि धम्की दिने व्यक्तिहरूलाई कुराकानीमा सुन्ने र थप खुफिया सङ्कलन गर्न अनुमति दिन्छ।
सङ्कलन गरिएको डाटा विशिष्ट %Temp% फोल्डरहरूमा भण्डारण गरिन्छ, प्रत्येकले डाटा निष्कासन प्रक्रिया भित्र फरक उद्देश्य प्रदान गर्दछ। मालवेयरद्वारा लिइएका स्क्रिनसटहरू %temp%\VSTelems_Fade\NgenPdbc फोल्डरमा भण्डारण गरिएका छन्, जबकि लग गरिएका कीस्ट्रोकहरू %temp%\VSTelems_Fade\NgenPdbk मा भण्डारण गरिएका छन्। %temp%\VSTelems_Fade\NgenPdbm फोल्डर माइक्रोफोन वायरट्यापिङ मार्फत प्राप्त डाटा भण्डारण गर्न समर्पित छ। थप रूपमा, %temp%\VSTelems_FadeIn फोल्डर जडान भएका स्मार्टफोनहरूबाट डाटा सङ्कलन गर्न प्रयोग गरिन्छ, जबकि %temp%\VSTelems_FadeOut फोल्डरले हटाउन सकिने मिडिया उपकरणहरूबाट सङ्कलन गरिएको डाटाको भण्डारण स्थानको रूपमा कार्य गर्दछ। यी विशिष्ट फोल्डरहरूले यो सुनिश्चित गर्दछ कि एकत्रित डाटा व्यवस्थित र साइबर जासूसी अभियानको आयोजना गर्ने खतरा अभिनेताहरूको लागि पहुँचयोग्य छ।
दक्षता कायम राख्न र डाटा भण्डारण सुविधाको लागि, FadeStealer ले चोरी भएको जानकारी RAR अभिलेख फाइलहरूमा सङ्कलन गर्दछ। यसले मालवेयरलाई चोरी गरिएको डाटा कम्प्रेस गर्न र व्यवस्थित गर्न सक्षम बनाउँछ, यो सुनिश्चित गर्दै कि यो लुकेको छ र खतरा कर्ताहरूद्वारा पछिको निष्कासनका लागि सजिलै ढुवानी योग्य छ।
