FadeStealer

Hekersko skupino APT37, imenovano tudi StarCruft, Reaper ali RedEyes, so pred kratkim opazili, da uporablja na novo odkrito zlonamerno programsko opremo za krajo informacij, imenovano FadeStealer. Ta sofisticirana zlonamerna programska oprema vključuje zmožnost 'prisluškovanja', kar akterjem groženj omogoča skrivaj prestrezanje in snemanje zvoka iz mikrofonov žrtev.

Splošno prepričanje je, da je APT37 hekerska skupina, ki jo sponzorira država in ima veliko izkušenj pri izvajanju operacij kibernetskega vohunjenja v skladu z interesi Severne Koreje. Njihove tarče so bili severnokorejski prebežniki, izobraževalne ustanove in organizacije s sedežem v Evropski uniji.

V prejšnjih kampanjah je ta skupina za izvajanje svojih kibernetskih napadov uporabila po meri narejeno zlonamerno programsko opremo, kot sta 'Dolphin' in ' M2RAT '. Ta grozilna orodja so bila posebej zasnovana za infiltracijo v naprave Windows, vključno s povezanimi mobilnimi telefoni, in omogočanje različnih zlonamernih dejavnosti, kot so izvajanje ukazov, kraja podatkov, zbiranje poverilnic in zajemanje posnetkov zaslona.

Zlonamerna programska oprema za zakulisna vrata po meri prinaša grožnjo FadeStealer

Varnostni raziskovalci so pred kratkim odkrili podrobnosti o drugi zlonamerni programski opremi po meri, ki se uporablja v napadih APT37, znani kot stranska vrata AblyGo. Poleg FadeStealerja so ta neželena orodja zasnovana za infiltracijo v ciljne sisteme in omogočanje različnih škodljivih dejavnosti.

Začetni način dostave te zlonamerne programske opreme vključuje e-poštna sporočila z lažnim predstavljanjem, ki vsebujejo priložene arhive. Ti arhivi so sestavljeni iz dokumentov urejevalnika besedil Word in Hangul (datoteke .docx in .hwp), zaščitenih z geslom, skupaj z datoteko CHM sistema Windows 'password.chm'. Zelo verjetno je, da e-poštna sporočila z lažnim predstavljanjem naročijo prejemnikom, naj odprejo datoteko CHM, da pridobijo geslo, potrebno za odklepanje dokumentov. Vendar, ne da bi žrtve vedele, to dejanje sproži proces okužbe na njihovih napravah Windows.

Ko odprete datoteko CHM, bo zavajajoč poziv prikazal domnevno geslo za odklepanje dokumentov. Istočasno datoteka diskretno prenese in izvede oddaljeni skript PowerShell, ki služi kot stranska vrata z napredno funkcionalnostjo. Ta zadnja vrata PowerShell vzpostavijo komunikacijo s strežniki Command-and-Control (C2) napadalcev, kar jim omogoča oddaljeno izvajanje ukazov v ogroženem sistemu.

Poleg tega stranska vrata olajšajo namestitev dodatnih stranskih vrat, znanih kot 'AblyGo backdoor' v kasnejših fazah napada. Ta nova stranska vrata izkorišča platformo Ably, storitev API, ki jo razvijalci uporabljajo za vključitev funkcij v realnem času in dostavo informacij v svoje aplikacije. Z uporabo platforme Ably kot platforme C2 lahko akterji groženj pošljejo ukaze, kodirane z base64, v stranska vrata za izvedbo in prejmejo izhod. Ta pristop jim omogoča, da prikrijejo svoje zlonamerne dejavnosti v zakonitem omrežnem prometu, zaradi česar je odkrivanje in spremljanje njihovega delovanja težje.

'Zakulisna vrata AblyGo' igrajo ključno vlogo v kampanji kibernetskega vohunjenja, saj akterjem groženj omogočajo stopnjevanje privilegijev, izločanje občutljivih podatkov in dostavo dodatnih komponent zlonamerne programske opreme. Z uporabo zakonitih platform, kot je Ably, se akterji groženj poskušajo izogniti nadzoru omrežja in varnostni programski opremi ter s tem povečati učinkovitost svojih napadov.

Nevarne zmožnosti, ki jih najdemo v grožnji FadeStealer

Zadnja vrata na koncu prinesejo FadeStealer kot končni tovor. Grožnja je zelo močna zlonamerna programska oprema za krajo informacij, zasnovana posebej za naprave Windows. Ko je nameščen, FadeStealer uporablja tehniko, imenovano stransko nalaganje DLL, da se vstavi v zakonit proces 'ieinstall.exe' Internet Explorerja in tako učinkovito prikrije svojo prisotnost.

FadeStealer deluje prikrito v ozadju in diskretno zbira široko paleto občutljivih informacij iz ogrožene naprave. V rednih 30-minutnih intervalih zlonamerna programska oprema zajame posnetke zaslona žrtve, zabeleži zabeležene pritiske tipk in zbere datoteke iz vseh povezanih pametnih telefonov ali izmenljivih naprav. Poleg tega ima FadeStealer zmožnost snemanja zvoka prek mikrofona naprave, kar akterjem groženj, ki stojijo za napadom, omogoča prisluškovanje pogovorom in zbiranje dodatnih obveščevalnih podatkov.

Zbrani podatki so shranjeni v posebnih mapah %Temp%, od katerih ima vsaka poseben namen v procesu izločanja podatkov. Posnetki zaslona, ki jih posname zlonamerna programska oprema, so shranjeni v mapi %temp%\VSTelems_Fade\NgenPdbc, medtem ko so zabeleženi pritiski tipk shranjeni v %temp%\VSTelems_Fade\NgenPdbk. Mapa %temp%\VSTelems_Fade\NgenPdbm je namenjena shranjevanju podatkov, pridobljenih s prisluškovanjem mikrofonu. Poleg tega se mapa %temp%\VSTelems_FadeIn uporablja za zbiranje podatkov iz povezanih pametnih telefonov, medtem ko mapa %temp%\VSTelems_FadeOut služi kot lokacija za shranjevanje podatkov, zbranih iz izmenljivih medijskih naprav. Te posebne mape zagotavljajo, da so zbrani podatki organizirani in dostopni akterjem groženj, ki orkestrirajo kampanjo kibernetskega vohunjenja.

Da bi ohranil učinkovitost in olajšal shranjevanje podatkov, FadeStealer zbira ukradene podatke v arhivskih datotekah RAR. To zlonamerni programski opremi omogoča, da stisne in organizira ukradene podatke, s čimer zagotovi, da ostanejo skriti in jih je enostavno prenesti za kasnejše izločanje s strani akterjev groženj.