FadeStealer

Хакерская группа APT37, также известная как StarCruft, Reaper или RedEyes, недавно была замечена с использованием недавно обнаруженного вредоносного ПО для кражи информации под названием FadeStealer. Это сложное вредоносное ПО включает в себя функцию «прослушки», позволяющую злоумышленникам тайно перехватывать и записывать звук с микрофонов жертв.

Широко распространено мнение, что APT37 является спонсируемой государством хакерской группой, имеющей значительный опыт проведения операций кибершпионажа в интересах Северной Кореи. В число их целей входили перебежчики из Северной Кореи, образовательные учреждения и организации, базирующиеся в Европейском Союзе.

В предыдущих кампаниях эта группа использовала специально разработанные вредоносные программы, такие как Dolphin и M2RAT , для проведения своих кибератак. Эти угрожающие инструменты были специально разработаны для проникновения на устройства Windows, включая подключенные мобильные телефоны, и облегчения различных вредоносных действий, таких как выполнение команд, кража данных, сбор учетных данных и создание снимков экрана.

Пользовательское вредоносное ПО с бэкдором представляет угрозу FadeStealer

Исследователи безопасности недавно обнаружили подробности о другом специальном вредоносном ПО, используемом в атаках APT37, известном как бэкдор AblyGo. Наряду с FadeStealer эти нежелательные инструменты предназначены для проникновения в целевые системы и облегчения различных вредоносных действий.

Первоначальный метод доставки этой вредоносной программы включает фишинговые электронные письма, содержащие вложенные архивы. Эти архивы состоят из защищенных паролем документов текстового процессора Word и Hangul (файлы .docx и .hwp), а также CHM-файла Windows «password.chm». Весьма вероятно, что в фишинговых письмах получателям предлагается открыть файл CHM, чтобы получить пароль, необходимый для разблокировки документов. Однако, без ведома жертв, это действие запускает процесс заражения на их устройствах Windows.

При открытии файла CHM обманчивая подсказка отобразит предполагаемый пароль для разблокировки документов. Одновременно файл незаметно загружает и выполняет удаленный скрипт PowerShell, который служит бэкдором с расширенными функциями. Этот бэкдор PowerShell устанавливает связь с серверами Command-and-Control (C2) злоумышленников, позволяя им удаленно выполнять команды на скомпрометированной системе.

Кроме того, бэкдор облегчает развертывание дополнительного бэкдора, известного как «бэкдор AblyGo», на более поздних этапах атаки. Этот новый бэкдор использует Ably Platform, API-сервис, который разработчики используют для включения функций реального времени и доставки информации в свои приложения. Используя платформу Ably в качестве платформы C2, злоумышленники могут отправлять команды в кодировке base64 бэкдору для выполнения и получения результата. Такой подход позволяет им скрывать свои злонамеренные действия в законном сетевом трафике, что усложняет обнаружение и мониторинг их операций.

Бэкдор AblyGo играет решающую роль в кампании кибершпионажа, позволяя злоумышленникам проводить эскалацию привилегий, эксфильтровать конфиденциальные данные и доставлять дополнительные вредоносные компоненты. Используя законные платформы, такие как Ably, злоумышленники стремятся обойти программное обеспечение для мониторинга сети и безопасности, тем самым повышая эффективность своих атак.

Угрожающие возможности, обнаруженные в угрозе FadeStealer

Бэкдоры в конечном итоге доставляют FadeStealer в качестве последней полезной нагрузки. Угроза представляет собой мощное вредоносное ПО для кражи информации, разработанное специально для устройств Windows. После установки FadeStealer использует технику, называемую загрузкой неопубликованных DLL, чтобы внедрить себя в законный процесс ieinstall.exe в Internet Explorer, эффективно маскируя свое присутствие.

FadeStealer работает скрытно в фоновом режиме, незаметно собирая широкий спектр конфиденциальной информации со взломанного устройства. С регулярными интервалами в 30 минут вредоносная программа делает снимки экрана жертвы, записывает нажатия клавиш и собирает файлы со всех подключенных смартфонов или съемных устройств. Кроме того, FadeStealer обладает способностью записывать звук через микрофон устройства, что позволяет злоумышленникам, стоящим за атакой, подслушивать разговоры и собирать дополнительную информацию.

Собранные данные хранятся в определенных папках %Temp%, каждая из которых служит определенной цели в процессе эксфильтрации данных. Скриншоты, сделанные вредоносным ПО, хранятся в папке %temp%\VSTelems_Fade\NgenPdbc, а зарегистрированные нажатия клавиш — в %temp%\VSTelems_Fade\NgenPdbk. Папка %temp%\VSTelems_Fade\NgenPdbm предназначена для хранения данных, полученных при прослушивании микрофонов. Кроме того, папка %temp%\VSTelems_FadeIn используется для сбора данных с подключенных смартфонов, а папка %temp%\VSTelems_FadeOut служит местом хранения данных, собранных со съемных носителей. Эти специальные папки гарантируют, что собранные данные будут организованы и доступны для злоумышленников, организующих кампанию кибершпионажа.

Для поддержания эффективности и облегчения хранения данных FadeStealer собирает украденную информацию в архивных файлах RAR. Это позволяет вредоносному ПО сжимать и упорядочивать украденные данные, гарантируя, что они останутся скрытыми и легко транспортируемыми для последующего эксфильтрации злоумышленниками.