FadeStealer

De hackgroep APT37, ook wel StarCruft, Reaper of RedEyes genoemd, is onlangs geobserveerd met behulp van een nieuw ontdekte informatiestelende malware genaamd FadeStealer. Deze geavanceerde malware bevat een 'afluister'-mogelijkheid, waardoor de bedreigingsactoren in het geheim audio van de microfoons van slachtoffers kunnen onderscheppen en opnemen.

Algemeen wordt aangenomen dat APT37 een door de staat gesponsorde hackgroep is met een aanzienlijke staat van dienst in het uitvoeren van cyberspionageoperaties die zijn afgestemd op de belangen van Noord-Korea. Hun doelwitten waren onder meer Noord-Koreaanse overlopers, onderwijsinstellingen en organisaties in de Europese Unie.

In eerdere campagnes gebruikte deze groep op maat gemaakte malware zoals 'Dolphin' en ' M2RAT ' om hun cyberaanvallen uit te voeren. Deze bedreigende tools zijn speciaal ontworpen om Windows-apparaten te infiltreren, inclusief verbonden mobiele telefoons, en verschillende kwaadaardige activiteiten mogelijk te maken, zoals het uitvoeren van opdrachten, gegevensdiefstal, het verzamelen van referenties en het maken van schermafbeeldingen.

Een aangepaste backdoor-malware zorgt voor de FadeStealer-dreiging

Beveiligingsonderzoekers hebben onlangs details ontdekt over een andere aangepaste malware die wordt gebruikt bij aanvallen door APT37, bekend als de AblyGo-achterdeur. Naast FadeStealer zijn deze ongewenste tools ontworpen om gerichte systemen te infiltreren en verschillende schadelijke activiteiten mogelijk te maken.

De eerste leveringsmethode van deze malware omvat phishing-e-mails met bijgevoegde archieven. Deze archieven bestaan uit met een wachtwoord beveiligde Word- en Hangul-tekstverwerkerdocumenten (.docx- en .hwp-bestanden), samen met een 'password.chm' Windows CHM-bestand. Het is zeer waarschijnlijk dat de phishing-e-mails de ontvangers instrueren het CHM-bestand te openen om het wachtwoord te verkrijgen dat nodig is om de documenten te ontgrendelen. Zonder dat de slachtoffers het weten, activeert deze actie het infectieproces op hun Windows-apparaten.

Bij het openen van het CHM-bestand zal een misleidende prompt het vermeende wachtwoord weergeven om de documenten te ontgrendelen. Tegelijkertijd wordt het bestand discreet gedownload en wordt een PowerShell-script op afstand uitgevoerd, dat dient als achterdeur met geavanceerde functionaliteit. Deze PowerShell-achterdeur brengt communicatie tot stand met de Command-and-Control (C2)-servers van de aanvallers, waardoor ze op afstand commando's op het gecompromitteerde systeem kunnen uitvoeren.

Bovendien vergemakkelijkt de achterdeur de inzet van een extra achterdeur die bekend staat als de 'AblyGo-achterdeur' tijdens de latere stadia van de aanval. Deze nieuwe backdoor maakt gebruik van het Ably Platform, een API-service die ontwikkelaars gebruiken om real-time functies en informatielevering in hun applicaties op te nemen. Door het Ably-platform als een C2-platform te gebruiken, kunnen de bedreigingsactoren base64-gecodeerde commando's naar de achterdeur sturen voor uitvoering en de uitvoer ontvangen. Deze aanpak stelt hen in staat hun kwaadaardige activiteiten binnen legitiem netwerkverkeer te verbergen, waardoor het moeilijker wordt om hun activiteiten te detecteren en te controleren.

De 'AblyGo-achterdeur' speelt een cruciale rol in de cyberspionagecampagne, waardoor de dreigingsactoren privilege-escalatie kunnen uitvoeren, gevoelige gegevens kunnen exfiltreren en aanvullende malwarecomponenten kunnen leveren. Door legitieme platforms zoals Ably te gebruiken, proberen de bedreigingsactoren netwerkbewakings- en beveiligingssoftware te omzeilen, waardoor de effectiviteit van hun aanvallen wordt vergroot.

De bedreigende mogelijkheden gevonden in de FadeStealer-dreiging

De backdoors leveren uiteindelijk FadeStealer als laatste lading. De dreiging is een zeer krachtige malware die informatie steelt en speciaal is ontworpen voor Windows-apparaten. Eenmaal geïnstalleerd, gebruikt FadeStealer een techniek genaamd DLL-sideloading om zichzelf te injecteren in het legitieme 'ieinstall.exe'-proces van Internet Explorer, waardoor zijn aanwezigheid effectief wordt gecamoufleerd.

FadeStealer werkt heimelijk op de achtergrond en verzamelt discreet een breed scala aan gevoelige informatie van het gecompromitteerde apparaat. Met regelmatige tussenpozen van 30 minuten maakt de malware schermafbeeldingen van het scherm van het slachtoffer, registreert gelogde toetsaanslagen en verzamelt bestanden van alle aangesloten smartphones of verwisselbare apparaten. Bovendien heeft FadeStealer de mogelijkheid om audio op te nemen via de microfoon van het apparaat, waardoor de bedreigingsactoren achter de aanval gesprekken kunnen afluisteren en extra informatie kunnen verzamelen.

De verzamelde gegevens worden opgeslagen in specifieke %Temp%-mappen, die elk een ander doel dienen binnen het gegevensexfiltratieproces. Screenshots gemaakt door de malware worden opgeslagen in de map %temp%\VSTelems_Fade\NgenPdbc, terwijl gelogde toetsaanslagen worden opgeslagen in %temp%\VSTelems_Fade\NgenPdbk. De map %temp%\VSTelems_Fade\NgenPdbm is bestemd voor het opslaan van gegevens die zijn verkregen via het afluisteren van microfoons. Bovendien wordt de map %temp%\VSTelems_FadeIn gebruikt voor het verzamelen van gegevens van aangesloten smartphones, terwijl de map %temp%\VSTelems_FadeOut dient als opslaglocatie voor gegevens die zijn verzameld van verwisselbare media-apparaten. Deze specifieke mappen zorgen ervoor dat de verzamelde gegevens geordend en toegankelijk zijn voor de dreigingsactoren die de cyberspionagecampagne orkestreren.

Om de efficiëntie te behouden en gegevensopslag te vergemakkelijken, verzamelt FadeStealer de gestolen informatie in RAR-archiefbestanden. Hierdoor kan de malware de gestolen gegevens comprimeren en organiseren, zodat ze verborgen blijven en gemakkelijk kunnen worden getransporteerd voor latere exfiltratie door de bedreigingsactoren.