Попусти за више лиценци
Threat Database Advanced Persistent Threat (APT) ФадеСтеалер

ФадеСтеалер

До Mezo. у Advanced Persistent Threat (APT), Backdoors, Malware, Stealers
Преведи на:
Српски

Хакерска група АПТ37 која се такође назива СтарЦруфт, Реапер или РедЕиес, недавно је примећена помоћу новооткривеног малвера за крађу информација под називом ФадеСтеалер. Овај софистицирани злонамерни софтвер укључује могућност „прислушкивања“, омогућавајући актерима претњи да тајно пресрећу и снимају звук са микрофона жртава.

Сматра се да је АПТ37 хакерска група коју спонзорише држава са значајним искуством у вођењу операција сајбер шпијунаже у складу са интересима Северне Кореје. Њихове мете су севернокорејски пребегли, образовне институције и организације са седиштем у Европској унији.

У претходним кампањама, ова група је користила прилагођени малвер као што су „Долпхин“ и „ М2РАТ “ да би извршила своје сајбер нападе. Ови претећи алати су посебно дизајнирани да инфилтрирају Виндовс уређаје, укључујући повезане мобилне телефоне, и олакшају разне злонамерне активности као што су извршавање команди, крађа података, прикупљање акредитива и снимање снимака екрана.

Прилагођени бацкдоор злонамерни софтвер пружа претњу ФадеСтеалер-у

Истраживачи безбедности су недавно открили детаље о другом прилагођеном малверу који се користи у нападима од стране АПТ37, познатом као АблиГо бацкдоор. Поред ФадеСтеалер-а, ови нежељени алати су дизајнирани да се инфилтрирају у циљане системе и олакшају разне штетне активности.

Почетни начин испоруке овог малвера укључује пхисхинг е-поруке које садрже приложене архиве. Ове архиве се састоје од Ворд и Хангул Ворд Процессор докумената заштићених лозинком (.доцк и .хвп датотеке), заједно са Виндовс ЦХМ датотеком „пассворд.цхм“. Врло је вероватно да пхисхинг поруке е-поште наводе примаоце да отворе ЦХМ датотеку како би добили лозинку потребну за откључавање докумената. Међутим, без знања жртава, ова радња покреће процес инфекције на њиховим Виндовс уређајима.

Након отварања ЦХМ датотеке, обмањујући упит ће приказати наводну лозинку за откључавање докумената. Истовремено, датотека дискретно преузима и извршава удаљену ПоверСхелл скрипту, која служи као бацкдоор са напредном функционалношћу. Овај ПоверСхелл бацкдоор успоставља комуникацију са серверима за команду и контролу (Ц2) нападача, омогућавајући им да даљински извршавају команде на компромитованом систему.

Штавише, бацкдоор олакшава постављање додатног бацкдоор-а познатог као 'АблиГо бацкдоор' током каснијих фаза напада. Овај нови бацкдоор користи платформу Абли, АПИ услугу коју програмери користе да инкорпорирају функције у реалном времену и испоруку информација у своје апликације. Коришћењем Абли платформе као Ц2 платформе, актери претњи могу да пошаљу команде кодиране басе64 бекдору за извршење и примају излаз. Овај приступ им омогућава да сакрију своје злонамерне активности у оквиру легитимног мрежног саобраћаја, чинећи откривање и праћење њихових операција још изазовнијим.

'АблиГо бацкдоор' игра кључну улогу у кампањи сајбер шпијунаже, омогућавајући актерима претњи да спроведу ескалацију привилегија, ексфилтрирају осетљиве податке и испоруче додатне компоненте злонамерног софтвера. Користећи легитимне платформе као што је Абли, актери претњи имају за циљ да избегну надзор мреже и безбедносни софтвер, чиме повећавају ефикасност својих напада.

Претеће могућности које се налазе у претњи ФадеСтеалер

Бацкдоорс на крају испоручују ФадеСтеалер као коначни терет. Претња је веома моћан малвер за крађу информација дизајниран посебно за Виндовс уређаје. Једном инсталиран, ФадеСтеалер користи технику звану ДЛЛ сиделоадинг да би се убацио у легитимни 'иеинсталл.еке' процес Интернет Екплорер-а, ефективно камуфлирајући своје присуство.

ФадеСтеалер ради скривено у позадини, дискретно прикупљајући широк спектар осетљивих информација са компромитованог уређаја. У редовним интервалима од 30 минута, злонамерни софтвер снима снимке екрана жртве, бележи забележене притиске тастера и прикупља датотеке са свих повезаних паметних телефона или преносивих уређаја. Штавише, ФадеСтеалер поседује могућност снимања звука преко микрофона уређаја, омогућавајући актерима претњи који стоје иза напада да прислушкују разговоре и прикупе додатне обавештајне податке.

Прикупљени подаци се чувају у одређеним %Темп% фасциклама, од којих свака служи посебној сврси у процесу ексфилтрације података. Снимци екрана које је направио злонамерни софтвер чувају се у фасцикли %темп%\ВСТелемс_Фаде\НгенПдбц, док се забележени претисци тастера чувају у %темп%\ВСТелемс_Фаде\НгенПдбк. Фасцикла %темп%\ВСТелемс_Фаде\НгенПдбм је намењена чувању података добијених прислушкивањем микрофона. Поред тога, фасцикла %темп%\ВСТелемс_ФадеИн се користи за прикупљање података са повезаних паметних телефона, док фасцикла %темп%\ВСТелемс_ФадеОут служи као локација за складиштење података прикупљених са преносивих медијских уређаја. Ови специфични фолдери обезбеђују да су прикупљени подаци организовани и доступни актерима претњи који организују кампању сајбер шпијунаже.

Да би одржао ефикасност и олакшао складиштење података, ФадеСтеалер прикупља украдене информације у РАР архивским датотекама. Ово омогућава злонамерном софтверу да компримује и организује украдене податке, обезбеђујући да они остану сакривени и лако преносиви за накнадну ексфилтрацију од стране претњи.

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
15,882
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...