FadeStealer

Hackargruppen APT37 även kallad StarCruft, Reaper eller RedEyes, har nyligen observerats med hjälp av en nyupptäckt skadlig programvara som stjäl information som heter FadeStealer. Denna sofistikerade skadliga programvara har en "avlyssningsfunktion", vilket gör att hotaktörerna kan avlyssna och spela in ljud från offrens mikrofoner i hemlighet.

APT37 anses allmänt vara en statligt sponsrad hackergrupp med en betydande meritlista av att genomföra cyberspionageoperationer i linje med Nordkoreas intressen. Deras mål har inkluderat nordkoreanska avhoppare, utbildningsinstitutioner och organisationer baserade i Europeiska unionen.

I tidigare kampanjer har denna grupp använt skräddarsydd skadlig programvara som "Dolphin" och " M2RAT " för att utföra sina cyberattacker. Dessa hotfulla verktyg var speciellt utformade för att infiltrera Windows-enheter, inklusive anslutna mobiltelefoner, och underlätta olika skadliga aktiviteter som kommandoexekvering, datastöld, insamling av autentiseringsuppgifter och fånga skärmdumpar.

En anpassad bakdörr skadlig programvara levererar FadeStealer-hotet

Säkerhetsforskare har nyligen avslöjat detaljer om en annan anpassad skadlig programvara som används i attacker av APT37, känd som AblyGo-bakdörren. Tillsammans med FadeStealer är dessa oönskade verktyg utformade för att infiltrera riktade system och underlätta olika skadliga aktiviteter.

Den första leveransmetoden för denna skadliga programvara involverar nätfiske-e-postmeddelanden som innehåller bifogade arkiv. Dessa arkiv består av lösenordsskyddade Word- och Hangul-ordbehandlaredokument (.docx- och .hwp-filer), tillsammans med en 'password.chm' Windows CHM-fil. Det är mycket troligt att nätfiskemeddelandena instruerar mottagarna att öppna CHM-filen för att få det lösenord som krävs för att låsa upp dokumenten. Men utan att offren vet det, utlöser denna åtgärd infektionsprocessen på deras Windows-enheter.

När CHM-filen öppnas kommer en vilseledande uppmaning att visa det påstådda lösenordet för att låsa upp dokumenten. Samtidigt laddar filen diskret ned och kör ett fjärrstyrt PowerShell-skript, som fungerar som en bakdörr med avancerad funktionalitet. Denna PowerShell-bakdörr etablerar kommunikation med angriparnas Command-and-Control (C2)-servrar, vilket gör att de kan utföra kommandon på det komprometterade systemet på distans.

Dessutom underlättar bakdörren utplaceringen av ytterligare en bakdörr känd som "AblyGo-bakdörren" under attackens senare skeden. Denna nya bakdörr utnyttjar Ably Platform, en API-tjänst som utvecklare använder för att införliva realtidsfunktioner och informationsleverans i sina applikationer. Genom att använda Ably-plattformen som en C2-plattform kan hotaktörerna skicka base64-kodade kommandon till bakdörren för exekvering och ta emot utdata. Detta tillvägagångssätt tillåter dem att fördunkla sina skadliga aktiviteter inom legitim nätverkstrafik, vilket gör det mer utmanande att upptäcka och övervaka deras verksamhet.

"AblyGo-bakdörren" spelar en avgörande roll i cyberspionagekampanjen, vilket gör det möjligt för hotaktörerna att genomföra privilegieskalering, exfiltrera känslig data och leverera ytterligare skadlig programvara. Genom att använda legitima plattformar som Ably strävar hotaktörerna för att undvika nätverksövervakning och säkerhetsprogramvara, och därigenom öka effektiviteten i sina attacker.

De hotfulla egenskaperna som finns i FadeStealer-hotet

Bakdörrarna levererar i slutändan FadeStealer som en sista nyttolast. Hotet är en mycket potent skadlig programvara som stjäl information som är designad speciellt för Windows-enheter. När det väl har installerats använder FadeStealer en teknik som kallas DLL-sideloading för att injicera sig själv i den legitima 'ieinstall.exe'-processen i Internet Explorer, vilket effektivt kamouflerar dess närvaro.

FadeStealer arbetar smygande i bakgrunden och samlar diskret in ett brett utbud av känslig information från den komprometterade enheten. Med jämna mellanrum på 30 minuter fångar den skadliga programvaran skärmdumpar av offrets skärm, registrerar loggade tangenttryckningar och samlar in filer från alla anslutna smartphones eller flyttbara enheter. FadeStealer har dessutom förmågan att spela in ljud genom enhetens mikrofon, vilket gör att hotaktörerna bakom attacken kan avlyssna konversationer och samla in ytterligare intelligens.

Den insamlade informationen lagras i specifika %Temp%-mappar, som var och en tjänar ett distinkt syfte inom dataexfiltreringsprocessen. Skärmbilder tagna av skadlig programvara lagras i mappen %temp%\VSTelems_Fade\NgenPdbc, medan loggade tangenttryckningar lagras i %temp%\VSTelems_Fade\NgenPdbk. Mappen %temp%\VSTelems_Fade\NgenPdbm är dedikerad till att lagra data som erhållits genom mikrofonavlyssning. Dessutom används mappen %temp%\VSTelems_FadeIn för att samla in data från anslutna smartphones, medan mappen %temp%\VSTelems_FadeOut fungerar som lagringsplats för data som samlats in från flyttbara mediaenheter. Dessa specifika mappar säkerställer att den insamlade informationen är organiserad och tillgänglig för de hotaktörer som orkestrerar cyberspionagekampanjen.

För att upprätthålla effektiviteten och underlätta datalagring samlar FadeStealer in den stulna informationen i RAR-arkivfiler. Detta gör det möjligt för skadlig programvara att komprimera och organisera den stulna informationen, vilket säkerställer att den förblir dold och lätt att transportera för efterföljande exfiltrering av hotaktörerna.