FadeStealer

Hackerská skupina APT37 označovaná aj ako StarCruft, Reaper alebo RedEyes bola nedávno pozorovaná pomocou novoobjaveného malvéru na kradnutie informácií s názvom FadeStealer. Tento sofistikovaný malvér obsahuje funkciu „odpočúvania“, ktorá umožňuje aktérom hrozby tajne zachytiť a nahrávať zvuk z mikrofónov obetí.

APT37 je všeobecne považovaný za štátom podporovanú hackerskú skupinu s významnými výsledkami v oblasti vykonávania kyberšpionážnych operácií v súlade so záujmami Severnej Kórey. Medzi ich ciele patrili severokórejskí prebehlíci, vzdelávacie inštitúcie a organizácie so sídlom v Európskej únii.

V predchádzajúcich kampaniach táto skupina využívala na vykonávanie svojich kybernetických útokov malvér vyrobený na mieru, ako napríklad „Dolphin“ a „ M2RAT “. Tieto hrozivé nástroje boli špeciálne navrhnuté tak, aby infiltrovali zariadenia so systémom Windows, vrátane pripojených mobilných telefónov, a uľahčili rôzne škodlivé činnosti, ako je vykonávanie príkazov, krádež údajov, získavanie poverení a snímanie snímok obrazovky.

Vlastný backdoor malvér prináša hrozbu FadeStealer

Bezpečnostní výskumníci nedávno odhalili podrobnosti o ďalšom vlastnom malvéri používanom pri útokoch APT37, známom ako zadné vrátka AblyGo. Spolu s FadeStealer sú tieto nechcené nástroje navrhnuté tak, aby infiltrovali cielené systémy a uľahčili rôzne škodlivé aktivity.

Počiatočný spôsob doručenia tohto malvéru zahŕňa phishingové e-maily, ktoré obsahujú priložené archívy. Tieto archívy pozostávajú z dokumentov Word a Hangul Word Processor chránených heslom (súbory .docx a .hwp) spolu so súborom CHM systému Windows „password.chm“. Je vysoko pravdepodobné, že phishingové e-maily inštruujú príjemcov, aby otvorili súbor CHM, aby získali heslo potrebné na odomknutie dokumentov. Bez vedomia obetí však táto akcia spustí proces infekcie na ich zariadeniach so systémom Windows.

Po otvorení súboru CHM sa zobrazí klamlivá výzva, ktorá zobrazí údajné heslo na odomknutie dokumentov. Súčasne sa súbor diskrétne stiahne a spustí vzdialený skript PowerShell, ktorý slúži ako zadné vrátka s pokročilou funkcionalitou. Toto zadné vrátka PowerShell nadväzuje komunikáciu s útočníkovými servermi Command-and-Control (C2) a umožňuje im vykonávať príkazy na ohrozenom systéme na diaľku.

Okrem toho zadné vrátka uľahčujú nasadenie dodatočných zadných vrátok známych ako „AblyGo backdoor“ počas neskorších fáz útoku. Toto nové zadné vrátka využíva platformu Ably, službu API, ktorú vývojári využívajú na začlenenie funkcií a poskytovania informácií v reálnom čase do svojich aplikácií. Využitím platformy Ably ako platformy C2 môžu aktéri hrozieb posielať príkazy zakódované v base64 do zadných dvierok na vykonanie a prijímať výstup. Tento prístup im umožňuje zahmlievať ich škodlivé aktivity v rámci legitímnej sieťovej prevádzky, čo sťažuje detekciu a monitorovanie ich operácií.

„AblyGo backdoor“ hrá kľúčovú úlohu v kampani kybernetickej špionáže, ktorá umožňuje aktérom hrozieb eskalovať privilégiá, exfiltrovať citlivé údaje a dodávať ďalšie komponenty škodlivého softvéru. Využitím legitímnych platforiem, ako je Ably, sa aktéri hrozieb snažia vyhnúť monitorovaniu siete a bezpečnostnému softvéru, čím sa zvyšuje účinnosť ich útokov.

Hrozivé schopnosti nájdené v hrozbe FadeStealer

Zadné dvierka nakoniec prinášajú FadeStealer ako konečný náklad. Hrozbou je vysoko účinný malvér na krádež informácií navrhnutý špeciálne pre zariadenia so systémom Windows. Po nainštalovaní FadeStealer využíva techniku nazývanú DLL sideloading, aby sa vložil do legitímneho procesu 'ieinstall.exe' programu Internet Explorer, čím účinne maskuje jeho prítomnosť.

FadeStealer funguje tajne na pozadí a diskrétne získava širokú škálu citlivých informácií z napadnutého zariadenia. V pravidelných 30-minútových intervaloch malvér zachytáva snímky obrazovky obete, zaznamenáva zaznamenané stlačenia klávesov a zhromažďuje súbory zo všetkých pripojených smartfónov alebo vymeniteľných zariadení. Okrem toho má FadeStealer schopnosť nahrávať zvuk cez mikrofón zariadenia, čo umožňuje aktérom hrozby odpočúvať konverzácie a získavať ďalšie informácie.

Zhromaždené údaje sú uložené v špecifických priečinkoch %Temp%, z ktorých každý slúži na iný účel v rámci procesu exfiltrácie údajov. Snímky obrazovky vytvorené malvérom sú uložené v priečinku %temp%\VSTelems_Fade\NgenPdbc, zatiaľ čo zaznamenané stlačenia klávesov sú uložené v %temp%\VSTelems_Fade\NgenPdbk. Priečinok %temp%\VSTelems_Fade\NgenPdbm je určený na ukladanie údajov získaných odpočúvaním mikrofónu. Priečinok %temp%\VSTelems_FadeIn sa navyše používa na zhromažďovanie údajov z pripojených smartfónov, zatiaľ čo priečinok %temp%\VSTelems_FadeOut slúži ako miesto na ukladanie údajov zo zariadení s vymeniteľnými médiami. Tieto špecifické priečinky zabezpečujú, že zozbierané údaje sú usporiadané a dostupné pre aktérov hrozieb organizujúcich kyberšpionážnu kampaň.

Aby sa zachovala efektivita a uľahčilo ukladanie údajov, FadeStealer zhromažďuje ukradnuté informácie v archívnych súboroch RAR. To umožňuje malvéru komprimovať a organizovať ukradnuté údaje, čím sa zabezpečí, že zostanú skryté a ľahko prenosné na následnú exfiltráciu aktérmi hrozby.