FadeStealer
StarCruft, Reaper அல்லது RedEyes என்றும் குறிப்பிடப்படும் ஹேக்கிங் குழு APT37, FadeStealer எனப்படும் புதிதாக கண்டுபிடிக்கப்பட்ட தகவல்-திருடும் தீம்பொருளைப் பயன்படுத்தி சமீபத்தில் கவனிக்கப்பட்டது. இந்த அதிநவீன தீம்பொருள் ஒரு 'ஒயர் டேப்பிங்' திறனை ஒருங்கிணைக்கிறது, அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்டவர்களின் மைக்ரோஃபோன்களில் இருந்து ஆடியோவை ரகசியமாக இடைமறித்து பதிவு செய்ய உதவுகிறது.
APT37 என்பது வட கொரியாவின் நலன்களுடன் இணைந்த இணைய உளவு செயல்பாடுகளை நடத்துவதில் குறிப்பிடத்தக்க சாதனைப் பதிவைக் கொண்ட அரசால் வழங்கப்படும் ஹேக்கிங் குழுவாக பரவலாக நம்பப்படுகிறது. அவர்களின் இலக்குகளில் வட கொரிய விலகுபவர்கள், கல்வி நிறுவனங்கள் மற்றும் ஐரோப்பிய ஒன்றியத்தில் உள்ள அமைப்புகள் ஆகியவை அடங்கும்.
முந்தைய பிரச்சாரங்களில், இந்தக் குழுவானது 'டால்பின்' மற்றும் ' எம்2ஆர்ஏடி ' போன்ற தனிப்பயனாக்கப்பட்ட தீம்பொருளைப் பயன்படுத்தி தங்கள் இணையத் தாக்குதல்களைச் செயல்படுத்தியது. இந்த அச்சுறுத்தும் கருவிகள் குறிப்பாக இணைக்கப்பட்ட மொபைல் போன்கள் உட்பட Windows சாதனங்களுக்குள் ஊடுருவி, கட்டளை செயல்படுத்தல், தரவு திருட்டு, நற்சான்றிதழ் அறுவடை மற்றும் ஸ்கிரீன் ஷாட்களை கைப்பற்றுதல் போன்ற பல்வேறு தீங்கிழைக்கும் செயல்களை எளிதாக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது.
ஒரு தனிப்பயன் பின்கதவு மால்வேர் ஃபேட்ஸ்டீலர் அச்சுறுத்தலை வழங்குகிறது
AblyGo பின்கதவு எனப்படும் APT37 இன் தாக்குதல்களில் பயன்படுத்தப்படும் மற்றொரு தனிப்பயன் தீம்பொருள் பற்றிய விவரங்களை பாதுகாப்பு ஆராய்ச்சியாளர்கள் சமீபத்தில் கண்டுபிடித்துள்ளனர். FadeStealer உடன், இந்த தேவையற்ற கருவிகள் இலக்கு அமைப்புகளுக்குள் ஊடுருவி பல்வேறு தீங்கு விளைவிக்கும் செயல்களை எளிதாக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளன.
இந்த தீம்பொருளின் ஆரம்ப டெலிவரி முறையில் இணைக்கப்பட்ட காப்பகங்களைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்கள் அடங்கும். இந்த காப்பகங்களில் கடவுச்சொல் பாதுகாக்கப்பட்ட வேர்ட் மற்றும் ஹங்குல் வேர்ட் செயலி ஆவணங்கள் (.docx மற்றும் .hwp கோப்புகள்) மற்றும் 'password.chm' Windows CHM கோப்பு உள்ளது. ஃபிஷிங் மின்னஞ்சல்கள், ஆவணங்களைத் திறக்கத் தேவையான கடவுச்சொல்லைப் பெற, CHM கோப்பைத் திறக்குமாறு பெறுநர்களுக்கு அறிவுறுத்துகிறது. இருப்பினும், பாதிக்கப்பட்டவர்களுக்குத் தெரியாமல், இந்த நடவடிக்கை அவர்களின் விண்டோஸ் சாதனங்களில் தொற்று செயல்முறையைத் தூண்டுகிறது.
CHM கோப்பைத் திறக்கும் போது, ஆவணங்களைத் திறப்பதற்கான கடவுச்சொல்லை ஏமாற்றும் ப்ராம்ட் காண்பிக்கும். அதே நேரத்தில், கோப்பு விவேகத்துடன் ஒரு தொலை பவர்ஷெல் ஸ்கிரிப்டை பதிவிறக்கம் செய்து செயல்படுத்துகிறது, இது மேம்பட்ட செயல்பாட்டுடன் பின்கதவாக செயல்படுகிறது. இந்த PowerShell பின்கதவு தாக்குபவர்களின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களுடன் தொடர்பை ஏற்படுத்துகிறது, இது சமரசம் செய்யப்பட்ட கணினியில் கட்டளைகளை தொலைவிலிருந்து இயக்க உதவுகிறது.
மேலும், தாக்குதலின் பிற்கால கட்டங்களில் 'AblyGo backdoor' எனப்படும் கூடுதல் பின்கதவை பயன்படுத்துவதற்கு பின்கதவு உதவுகிறது. இந்த புதிய பின்கதவு, அபிலி பிளாட்ஃபார்ம், டெவலப்பர்கள் தங்கள் பயன்பாடுகளில் நிகழ்நேர அம்சங்களையும் தகவல் விநியோகத்தையும் இணைக்கப் பயன்படுத்தும் API சேவையைப் பயன்படுத்துகிறது. அபிலி பிளாட்ஃபார்மை C2 பிளாட்ஃபார்மைப் பயன்படுத்துவதன் மூலம், அச்சுறுத்தல் நடிகர்கள் பேஸ்64-குறியீடு செய்யப்பட்ட கட்டளைகளை பின்கதவிற்கு அனுப்பவும் மற்றும் வெளியீட்டைப் பெறவும் முடியும். இந்த அணுகுமுறை முறையான நெட்வொர்க் ட்ராஃபிக்கிற்குள் அவர்களின் தீங்கிழைக்கும் செயல்களை மழுங்கடிக்க அனுமதிக்கிறது, மேலும் அவர்களின் செயல்பாடுகளைக் கண்டறிந்து கண்காணிப்பது மிகவும் சவாலானது.
இணைய உளவுப் பிரச்சாரத்தில் 'AblyGo backdoor' முக்கிய பங்கு வகிக்கிறது, இது அச்சுறுத்தல் நடிகர்களுக்கு சலுகைகளை அதிகரிக்கவும், முக்கியமான தரவை வெளியேற்றவும் மற்றும் கூடுதல் தீம்பொருள் கூறுகளை வழங்கவும் உதவுகிறது. Ably போன்ற முறையான தளங்களைப் பயன்படுத்துவதன் மூலம், அச்சுறுத்தல் நடிகர்கள் நெட்வொர்க் கண்காணிப்பு மற்றும் பாதுகாப்பு மென்பொருளைத் தவிர்ப்பதை நோக்கமாகக் கொண்டுள்ளனர், இதன் மூலம் அவர்களின் தாக்குதல்களின் செயல்திறனை அதிகரிக்கும்.
FadeStealer அச்சுறுத்தலில் காணப்படும் அச்சுறுத்தும் திறன்கள்
பின்கதவுகள் இறுதியில் ஃபேட்ஸ்டீலரை இறுதி பேலோடாக வழங்குகின்றன. அச்சுறுத்தல் என்பது Windows சாதனங்களுக்காக வடிவமைக்கப்பட்ட மிகவும் சக்திவாய்ந்த தகவல்-திருடும் தீம்பொருள் ஆகும். நிறுவப்பட்டதும், ஃபேட்ஸ்டீலர், இன்டர்நெட் எக்ஸ்ப்ளோரரின் முறையான 'ieinstall.exe' செயல்முறையில் தன்னை உட்செலுத்த டிஎல்எல் சைட்லோடிங் எனப்படும் நுட்பத்தைப் பயன்படுத்துகிறது, அதன் இருப்பை திறம்பட மறைக்கிறது.
FadeStealer பின்னணியில் திருட்டுத்தனமாக இயங்குகிறது, சமரசம் செய்யப்பட்ட சாதனத்திலிருந்து பலவிதமான முக்கியமான தகவல்களை விவேகத்துடன் சேகரிக்கிறது. சீரான 30 நிமிட இடைவெளியில், தீம்பொருள் பாதிக்கப்பட்டவரின் திரையின் ஸ்கிரீன் ஷாட்களைப் பிடிக்கிறது, உள்நுழைந்த விசை அழுத்தங்களைப் பதிவு செய்கிறது மற்றும் இணைக்கப்பட்ட ஸ்மார்ட்போன்கள் அல்லது நீக்கக்கூடிய சாதனங்களிலிருந்து கோப்புகளைச் சேகரிக்கிறது. மேலும், FadeStealer சாதனத்தின் மைக்ரோஃபோன் மூலம் ஆடியோவைப் பதிவுசெய்யும் திறனைக் கொண்டுள்ளது, தாக்குதலுக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர்கள் உரையாடல்களைக் கேட்கவும் கூடுதல் உளவுத் தகவல்களை சேகரிக்கவும் அனுமதிக்கிறது.
சேகரிக்கப்பட்ட தரவு குறிப்பிட்ட %Temp% கோப்புறைகளில் சேமிக்கப்படுகிறது, ஒவ்வொன்றும் தரவு வடிகட்டுதல் செயல்பாட்டிற்குள் தனித்தனி நோக்கத்திற்காக சேவை செய்கின்றன. தீம்பொருளால் எடுக்கப்பட்ட ஸ்கிரீன்ஷாட்கள் %temp%\VSTelems_Fade\NgenPdbc கோப்புறையில் சேமிக்கப்படும், அதே சமயம் பதிவு செய்யப்பட்ட விசை அழுத்தங்கள் %temp%\VSTelems_Fade\NgenPdbk இல் சேமிக்கப்படும். %temp%\VSTelems_Fade\NgenPdbm கோப்புறையானது மைக்ரோஃபோன் ஒயர்டேப்பிங் மூலம் பெறப்பட்ட தரவைச் சேமிப்பதற்காக அர்ப்பணிக்கப்பட்டுள்ளது. கூடுதலாக, %temp%\VSTelems_FadeIn கோப்புறை இணைக்கப்பட்ட ஸ்மார்ட்போன்களில் இருந்து தரவைச் சேகரிக்கப் பயன்படுத்தப்படுகிறது, அதே நேரத்தில் %temp%\VSTelems_FadeOut கோப்புறையானது நீக்கக்கூடிய மீடியா சாதனங்களிலிருந்து சேகரிக்கப்பட்ட தரவுகளுக்கான சேமிப்பக இடமாக செயல்படுகிறது. இந்த குறிப்பிட்ட கோப்புறைகள் சேகரிக்கப்பட்ட தரவு ஒழுங்கமைக்கப்படுவதையும், இணைய உளவுப் பிரச்சாரத்தைத் திட்டமிடும் அச்சுறுத்தல் நடிகர்களுக்கு அணுகுவதையும் உறுதி செய்கிறது.
செயல்திறனைப் பராமரிக்கவும், தரவுச் சேமிப்பை எளிதாக்கவும், FadeStealer RAR காப்பகக் கோப்புகளில் திருடப்பட்ட தகவலைச் சேகரிக்கிறது. இது மால்வேரைச் சுருக்கி, திருடப்பட்ட தரவை ஒழுங்கமைக்க உதவுகிறது, இது மறைந்திருப்பதையும், அச்சுறுத்தல் நடிகர்களால் அடுத்தடுத்து வெளியேற்றப்படுவதற்கு எளிதாகக் கொண்டு செல்லக்கூடியதாக இருப்பதையும் உறுதி செய்கிறது.
