FadeStealer

Grupi i hakerave APT37 i referuar gjithashtu si StarCruft, Reaper ose RedEyes, kohët e fundit është vëzhguar duke përdorur një malware të sapo zbuluar për vjedhjen e informacionit të quajtur FadeStealer. Ky malware i sofistikuar përfshin një aftësi 'përgjimi', duke u mundësuar aktorëve të kërcënimit të përgjojnë dhe regjistrojnë audion nga mikrofonat e viktimave në mënyrë të fshehtë.

APT37 besohet gjerësisht të jetë një grup hakerimi i sponsorizuar nga shteti me një histori të rëndësishme të kryerjes së operacioneve të spiunazhit kibernetik në përputhje me interesat e Koresë së Veriut. Objektivat e tyre kanë përfshirë dezertorët e Koresë së Veriut, institucionet arsimore dhe organizatat me bazë në Bashkimin Evropian.

Në fushatat e mëparshme, ky grup ka përdorur malware të krijuar me porosi si 'Dolphin' dhe ' M2RAT ' për të kryer sulmet e tyre kibernetike. Këto mjete kërcënuese janë krijuar posaçërisht për të depërtuar në pajisjet Windows, duke përfshirë telefonat celularë të lidhur, dhe për të lehtësuar aktivitete të ndryshme me qëllim të keq, si ekzekutimi i komandave, vjedhja e të dhënave, mbledhja e kredencialeve dhe kapja e pamjeve të ekranit.

Një malware i personalizuar në prapavijë sjell kërcënimin e FadeStealer

Studiuesit e sigurisë së fundmi kanë zbuluar detaje rreth një tjetër malware të personalizuar të përdorur në sulmet nga APT37, i njohur si AblyGo backdoor. Krahas FadeStealer, këto mjete të padëshiruara janë krijuar për të depërtuar në sistemet e synuara dhe për të lehtësuar aktivitete të ndryshme të dëmshme.

Metoda fillestare e dorëzimit të këtij malware përfshin emailet e phishing që përmbajnë arkiva të bashkangjitura. Këto arkiva përbëhen nga dokumente Word dhe Hangul Word Processor të mbrojtura me fjalëkalim (skedarët .docx dhe .hwp), së bashku me një skedar Windows CHM 'password.chm'. Ka shumë të ngjarë që emailet e phishing t'i udhëzojnë marrësit të hapin skedarin CHM për të marrë fjalëkalimin e kërkuar për të zhbllokuar dokumentet. Megjithatë, pa e ditur viktimat, ky veprim shkakton procesin e infektimit në pajisjet e tyre Windows.

Pas hapjes së skedarit CHM, një kërkesë mashtruese do të shfaqë fjalëkalimin e supozuar për të zhbllokuar dokumentet. Njëkohësisht, skedari shkarkon dhe ekzekuton në mënyrë diskrete një skript të largët të PowerShell, i cili shërben si një derë e pasme me funksionalitet të avancuar. Kjo derë e pasme e PowerShell vendos komunikim me serverët Command-and-Control (C2) të sulmuesve, duke u mundësuar atyre të ekzekutojnë komanda në sistemin e komprometuar nga distanca.

Për më tepër, porta e pasme lehtëson vendosjen e një porta të pasme shtesë të njohur si 'backdoor' AblyGo gjatë fazave të mëvonshme të sulmit. Ky backdoor i ri shfrytëzon platformën Ably, një shërbim API që zhvilluesit e përdorin për të inkorporuar veçori në kohë reale dhe shpërndarjen e informacionit në aplikacionet e tyre. Duke përdorur platformën Ably si një platformë C2, aktorët e kërcënimit mund të dërgojnë komanda të koduara me bazë 64 në derën e pasme për ekzekutim dhe të marrin rezultatin. Kjo qasje u lejon atyre të turbullojnë aktivitetet e tyre me qëllim të keq brenda trafikut legjitim të rrjetit, duke e bërë më sfidues zbulimin dhe monitorimin e operacioneve të tyre.

"AblyGo backdoor" luan një rol vendimtar në fushatën e spiunazhit kibernetik, duke u mundësuar aktorëve të kërcënimit të kryejnë përshkallëzimin e privilegjeve, të nxjerrin të dhëna të ndjeshme dhe të ofrojnë komponentë shtesë malware. Duke përdorur platforma legjitime si Ably, aktorët e kërcënimit synojnë të shmangin monitorimin e rrjetit dhe softuerin e sigurisë, duke rritur kështu efektivitetin e sulmeve të tyre.

Aftësitë kërcënuese të gjetura në kërcënimin FadeStealer

Dyert e pasme në fund të fundit japin FadeStealer si një ngarkesë përfundimtare. Kërcënimi është një malware shumë i fuqishëm për vjedhjen e informacionit i krijuar posaçërisht për pajisjet Windows. Pasi të instalohet, FadeStealer përdor një teknikë të quajtur DLL sideloading për të injektuar veten në procesin legjitim 'ieinstall.exe' të Internet Explorer, duke kamufluar në mënyrë efektive praninë e tij.

FadeStealer funksionon në mënyrë të fshehtë në sfond, duke mbledhur në mënyrë diskrete një gamë të gjerë informacionesh delikate nga pajisja e komprometuar. Në intervale të rregullta prej 30 minutash, malware kap pamjet e ekranit të viktimës, regjistron goditjet e tastieve të regjistruara dhe mbledh skedarë nga çdo smartphone i lidhur ose pajisje e lëvizshme. Për më tepër, FadeStealer posedon aftësinë për të regjistruar audio përmes mikrofonit të pajisjes, duke lejuar aktorët e kërcënimit që qëndrojnë pas sulmit të përgjojnë bisedat dhe të mbledhin inteligjencë shtesë.

Të dhënat e mbledhura ruhen në dosje specifike %Temp%, ku secila shërben për një qëllim të veçantë brenda procesit të ekfiltrimit të të dhënave. Pamjet e ekranit të marra nga malware ruhen në dosjen %temp%\VSTelems_Fade\NgenPdbc, ndërsa goditjet e regjistruara të tasteve ruhen në %temp%\VSTelems_Fade\NgenPdbk. Dosja %temp%\VSTelems_Fade\NgenPdbm është e dedikuar për ruajtjen e të dhënave të marra përmes përgjimit të mikrofonit. Për më tepër, dosja %temp%\VSTelems_FadeIn përdoret për mbledhjen e të dhënave nga telefonat inteligjentë të lidhur, ndërsa dosja %temp%\VSTelems_FadeOut shërben si vend ruajtjeje për të dhënat e mbledhura nga pajisjet e lëvizshme të mediave. Këto dosje specifike sigurojnë që të dhënat e mbledhura të jenë të organizuara dhe të aksesueshme për aktorët e kërcënimit që orkestrojnë fushatën e spiunazhit kibernetik.

Për të ruajtur efikasitetin dhe për të lehtësuar ruajtjen e të dhënave, FadeStealer mbledh informacionin e vjedhur në skedarët e arkivit RAR. Kjo i mundëson malware të kompresojë dhe organizojë të dhënat e vjedhura, duke siguruar që ato të mbeten të fshehura dhe lehtësisht të transportueshme për ekfiltrim të mëvonshëm nga aktorët e kërcënimit.