FadeStealer

Grupa hakerska APT37, określana również jako StarCruft, Reaper lub RedEyes, została ostatnio zaobserwowana przy użyciu nowo odkrytego szkodliwego oprogramowania o nazwie FadeStealer, które kradnie informacje. To wyrafinowane złośliwe oprogramowanie zawiera funkcję „podsłuchiwania”, umożliwiając cyberprzestępcom potajemne przechwytywanie i nagrywanie dźwięku z mikrofonów ofiar.

Powszechnie uważa się, że APT37 jest sponsorowaną przez państwo grupą hakerską, mającą znaczące doświadczenie w przeprowadzaniu operacji cyberszpiegowskich zgodnych z interesami Korei Północnej. Ich celem byli uciekinierzy z Korei Północnej, instytucje edukacyjne i organizacje z siedzibą w Unii Europejskiej.

W poprzednich kampaniach grupa ta wykorzystywała do przeprowadzania cyberataków specjalnie stworzone złośliwe oprogramowanie, takie jak „Dolphin” i „ M2RAT ”. Te groźne narzędzia zostały specjalnie zaprojektowane do infiltracji urządzeń z systemem Windows, w tym podłączonych telefonów komórkowych, oraz ułatwiania różnych złośliwych działań, takich jak wykonywanie poleceń, kradzież danych, zbieranie danych uwierzytelniających i przechwytywanie zrzutów ekranu.

Niestandardowe złośliwe oprogramowanie typu backdoor dostarcza zagrożenie FadeStealer

Analitycy bezpieczeństwa odkryli niedawno szczegóły dotyczące innego niestandardowego złośliwego oprogramowania wykorzystywanego w atakach APT37, znanego jako backdoor AblyGo. Wraz z FadeStealer te niechciane narzędzia są przeznaczone do infiltracji docelowych systemów i ułatwiania różnych szkodliwych działań.

Początkowa metoda dostarczania tego złośliwego oprogramowania obejmuje e-maile phishingowe zawierające załączone archiwa. Archiwa te składają się z chronionych hasłem dokumentów programów Word i Hangul Word Processor (pliki .docx i .hwp) wraz z plikiem CHM systemu Windows „password.chm”. Jest wysoce prawdopodobne, że e-maile phishingowe nakłaniają odbiorców do otwarcia pliku CHM w celu uzyskania hasła wymaganego do odblokowania dokumentów. Jednak bez wiedzy ofiar, ta akcja uruchamia proces infekcji na ich urządzeniach z systemem Windows.

Po otwarciu pliku CHM zwodniczy monit wyświetli rzekome hasło do odblokowania dokumentów. Jednocześnie plik dyskretnie pobiera i wykonuje zdalny skrypt PowerShell, który służy jako backdoor z zaawansowaną funkcjonalnością. Ten backdoor PowerShell nawiązuje komunikację z serwerami Command-and-Control (C2) atakujących, umożliwiając im zdalne wykonywanie poleceń w zaatakowanym systemie.

Ponadto backdoor ułatwia wdrożenie dodatkowego backdoora znanego jako „backdoor AblyGo” podczas późniejszych etapów ataku. Ten nowy backdoor wykorzystuje platformę Ably, usługę API, którą programiści wykorzystują do włączania funkcji czasu rzeczywistego i dostarczania informacji do swoich aplikacji. Wykorzystując platformę Ably jako platformę C2, cyberprzestępcy mogą wysyłać polecenia zakodowane w base64 do backdoora w celu wykonania i otrzymania danych wyjściowych. Takie podejście pozwala im ukrywać złośliwe działania w legalnym ruchu sieciowym, co utrudnia wykrywanie i monitorowanie ich działań.

Backdoor „AblyGo” odgrywa kluczową rolę w kampanii cyberszpiegowskiej, umożliwiając cyberprzestępcom przeprowadzanie eskalacji uprawnień, eksfiltrację wrażliwych danych i dostarczanie dodatkowych komponentów szkodliwego oprogramowania. Wykorzystując legalne platformy, takie jak Ably, cyberprzestępcy starają się unikać monitorowania sieci i oprogramowania zabezpieczającego, zwiększając w ten sposób skuteczność swoich ataków.

Groźne możliwości znalezione w zagrożeniu FadeStealer

Backdoory ostatecznie dostarczają FadeStealer jako ostateczny ładunek. Zagrożeniem jest bardzo silne złośliwe oprogramowanie do kradzieży informacji, zaprojektowane specjalnie dla urządzeń z systemem Windows. Po zainstalowaniu FadeStealer wykorzystuje technikę zwaną sideloadingiem DLL, aby wstrzyknąć się do legalnego procesu "ieinstall.exe" Internet Explorera, skutecznie kamuflując swoją obecność.

FadeStealer działa ukradkiem w tle, dyskretnie zbierając szeroki zakres poufnych informacji z zaatakowanego urządzenia. W regularnych 30-minutowych odstępach złośliwe oprogramowanie przechwytuje zrzuty ekranu ekranu ofiary, rejestruje zarejestrowane naciśnięcia klawiszy i gromadzi pliki z podłączonych smartfonów lub urządzeń wymiennych. Co więcej, FadeStealer posiada możliwość nagrywania dźwięku przez mikrofon urządzenia, co pozwala atakującym na podsłuchiwanie rozmów i zbieranie dodatkowych informacji.

Zebrane dane są przechowywane w określonych folderach %Temp%, z których każdy służy do innego celu w procesie eksfiltracji danych. Zrzuty ekranu wykonane przez złośliwe oprogramowanie są przechowywane w folderze %temp%\VSTelems_Fade\NgenPdbc, podczas gdy zarejestrowane naciśnięcia klawiszy są przechowywane w %temp%\VSTelems_Fade\NgenPdbk. Folder %temp%\VSTelems_Fade\NgenPdbm jest przeznaczony do przechowywania danych uzyskanych poprzez podsłuch mikrofonu. Ponadto folder %temp%\VSTelems_FadeIn służy do gromadzenia danych z podłączonych smartfonów, podczas gdy folder %temp%\VSTelems_FadeOut służy jako miejsce przechowywania danych zebranych z wymiennych urządzeń multimedialnych. Te określone foldery zapewniają, że zebrane dane są uporządkowane i dostępne dla cyberprzestępców organizujących kampanię cyberszpiegowską.

Aby zachować wydajność i ułatwić przechowywanie danych, FadeStealer gromadzi skradzione informacje w plikach archiwum RAR. Umożliwia to złośliwemu oprogramowaniu kompresję i organizowanie wykradzionych danych, zapewniając, że pozostaną one ukryte i łatwe do przenoszenia w celu późniejszej eksfiltracji przez cyberprzestępców.