FadeStealer
స్టార్క్రాఫ్ట్, రీపర్ లేదా రెడ్ఐస్ అని కూడా పిలువబడే హ్యాకింగ్ గ్రూప్ APT37, FadeStealer అని పిలువబడే కొత్తగా కనుగొనబడిన సమాచారాన్ని దొంగిలించే మాల్వేర్ను ఉపయోగించి ఇటీవల గమనించబడింది. ఈ అధునాతన మాల్వేర్ 'వైర్ట్యాపింగ్' సామర్థ్యాన్ని కలిగి ఉంటుంది, బాధితుల మైక్రోఫోన్ల నుండి రహస్యంగా ఆడియోను అడ్డగించడానికి మరియు రికార్డ్ చేయడానికి ముప్పు నటులను అనుమతిస్తుంది.
APT37 అనేది ఉత్తర కొరియా ప్రయోజనాలకు అనుగుణంగా సైబర్స్పియోనేజ్ కార్యకలాపాలను నిర్వహించడంలో గణనీయమైన ట్రాక్ రికార్డ్తో రాష్ట్ర-ప్రాయోజిత హ్యాకింగ్ సమూహంగా విస్తృతంగా విశ్వసించబడింది. వారి లక్ష్యాలలో ఉత్తర కొరియా ఫిరాయింపుదారులు, విద్యా సంస్థలు మరియు యూరోపియన్ యూనియన్లో ఉన్న సంస్థలు ఉన్నాయి.
మునుపటి ప్రచారాలలో, ఈ సమూహం వారి సైబర్ దాడులను నిర్వహించడానికి 'డాల్ఫిన్' మరియు ' M2RAT ' వంటి అనుకూల-నిర్మిత మాల్వేర్లను ఉపయోగించింది. కనెక్ట్ చేయబడిన మొబైల్ ఫోన్లతో సహా Windows పరికరాల్లోకి చొరబడేందుకు మరియు కమాండ్ ఎగ్జిక్యూషన్, డేటా దొంగతనం, క్రెడెన్షియల్ హార్వెస్టింగ్ మరియు స్క్రీన్షాట్లను క్యాప్చర్ చేయడం వంటి వివిధ హానికరమైన కార్యకలాపాలను సులభతరం చేయడానికి ఈ బెదిరింపు సాధనాలు ప్రత్యేకంగా రూపొందించబడ్డాయి.
కస్టమ్ బ్యాక్డోర్ మాల్వేర్ ఫేడ్స్టీలర్ థ్రెట్ను అందిస్తుంది
భద్రతా పరిశోధకులు ఇటీవలే AblyGo బ్యాక్డోర్ అని పిలువబడే APT37 ద్వారా దాడులలో ఉపయోగించిన మరొక అనుకూల మాల్వేర్ గురించిన వివరాలను కనుగొన్నారు. ఫేడ్స్టీలర్తో పాటు, ఈ అవాంఛిత సాధనాలు లక్ష్య వ్యవస్థల్లోకి చొరబడటానికి మరియు వివిధ హానికరమైన కార్యకలాపాలను సులభతరం చేయడానికి రూపొందించబడ్డాయి.
ఈ మాల్వేర్ యొక్క ప్రారంభ డెలివరీ పద్ధతిలో జోడించిన ఆర్కైవ్లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్లు ఉంటాయి. ఈ ఆర్కైవ్లు 'password.chm' Windows CHM ఫైల్తో పాటు పాస్వర్డ్-రక్షిత Word మరియు Hangul Word ప్రాసెసర్ డాక్యుమెంట్లను (.docx మరియు .hwp ఫైల్లు) కలిగి ఉంటాయి. పత్రాలను అన్లాక్ చేయడానికి అవసరమైన పాస్వర్డ్ను పొందేందుకు CHM ఫైల్ను తెరవమని ఫిషింగ్ ఇమెయిల్లు స్వీకర్తలకు సూచించే అవకాశం ఉంది. అయినప్పటికీ, బాధితులకు తెలియకుండానే, ఈ చర్య వారి Windows పరికరాలలో సంక్రమణ ప్రక్రియను ప్రేరేపిస్తుంది.
CHM ఫైల్ను తెరిచిన తర్వాత, పత్రాలను అన్లాక్ చేయడానికి మోసపూరిత ప్రాంప్ట్ ఆరోపించిన పాస్వర్డ్ను ప్రదర్శిస్తుంది. అదే సమయంలో, ఫైల్ తెలివిగా డౌన్లోడ్ చేస్తుంది మరియు రిమోట్ పవర్షెల్ స్క్రిప్ట్ను అమలు చేస్తుంది, ఇది అధునాతన కార్యాచరణతో బ్యాక్డోర్గా పనిచేస్తుంది. ఈ PowerShell బ్యాక్డోర్ దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్లతో కమ్యూనికేషన్ను ఏర్పాటు చేస్తుంది, రాజీపడిన సిస్టమ్పై రిమోట్గా ఆదేశాలను అమలు చేయడానికి వారిని అనుమతిస్తుంది.
ఇంకా, బ్యాక్డోర్ దాడి యొక్క తరువాతి దశలలో 'AblyGo బ్యాక్డోర్' అని పిలువబడే అదనపు బ్యాక్డోర్ను అమలు చేయడానికి వీలు కల్పిస్తుంది. ఈ కొత్త బ్యాక్డోర్ అబ్లీ ప్లాట్ఫారమ్ను ప్రభావితం చేస్తుంది, డెవలపర్లు తమ అప్లికేషన్లలో నిజ-సమయ ఫీచర్లు మరియు సమాచార డెలివరీని పొందుపరచడానికి ఉపయోగించే API సేవ. అబ్లీ ప్లాట్ఫారమ్ను C2 ప్లాట్ఫారమ్గా ఉపయోగించడం ద్వారా, బెదిరింపు నటులు బేస్64-ఎన్కోడ్ చేసిన ఆదేశాలను అమలు కోసం బ్యాక్డోర్కు పంపగలరు మరియు అవుట్పుట్ను స్వీకరించగలరు. ఈ విధానం చట్టబద్ధమైన నెట్వర్క్ ట్రాఫిక్లో వారి హానికరమైన కార్యకలాపాలను అస్పష్టం చేయడానికి వారిని అనుమతిస్తుంది, వారి కార్యకలాపాలను గుర్తించడం మరియు పర్యవేక్షించడం మరింత సవాలుగా మారుతుంది.
సైబర్ గూఢచర్యం ప్రచారంలో 'AblyGo బ్యాక్డోర్' కీలక పాత్ర పోషిస్తుంది, ముప్పు నటులు ప్రివిలేజ్ ఎస్కలేషన్ను నిర్వహించడానికి, సెన్సిటివ్ డేటాను ఎక్స్ఫిల్ట్రేట్ చేయడానికి మరియు అదనపు మాల్వేర్ భాగాలను అందించడానికి వీలు కల్పిస్తుంది. అబ్లీ వంటి చట్టబద్ధమైన ప్లాట్ఫారమ్లను ఉపయోగించడం ద్వారా, బెదిరింపు నటులు నెట్వర్క్ పర్యవేక్షణ మరియు భద్రతా సాఫ్ట్వేర్ నుండి తప్పించుకోవాలని లక్ష్యంగా పెట్టుకున్నారు, తద్వారా వారి దాడుల ప్రభావాన్ని పెంచుతారు.
ఫేడ్స్టీలర్ థ్రెట్లో కనుగొనబడిన బెదిరింపు సామర్థ్యాలు
బ్యాక్డోర్లు చివరికి ఫేడ్స్టీలర్ను తుది పేలోడ్గా అందజేస్తాయి. ముప్పు అనేది Windows పరికరాల కోసం ప్రత్యేకంగా రూపొందించబడిన అత్యంత శక్తివంతమైన సమాచారాన్ని దొంగిలించే మాల్వేర్. ఇన్స్టాల్ చేసిన తర్వాత, FadeStealer ఇంటర్నెట్ ఎక్స్ప్లోరర్ యొక్క చట్టబద్ధమైన 'ieinstall.exe' ప్రక్రియలోకి ప్రవేశించడానికి DLL సైడ్లోడింగ్ అనే సాంకేతికతను ఉపయోగిస్తుంది, దాని ఉనికిని సమర్థవంతంగా మభ్యపెడుతుంది.
FadeStealer నేపథ్యంలో రహస్యంగా పని చేస్తుంది, రాజీపడిన పరికరం నుండి అనేక రకాల సున్నితమైన సమాచారాన్ని వివేకంతో సేకరిస్తుంది. క్రమమైన 30 నిమిషాల వ్యవధిలో, మాల్వేర్ బాధితుల స్క్రీన్ స్క్రీన్షాట్లను క్యాప్చర్ చేస్తుంది, లాగిన్ చేసిన కీస్ట్రోక్లను రికార్డ్ చేస్తుంది మరియు కనెక్ట్ చేయబడిన ఏదైనా స్మార్ట్ఫోన్లు లేదా తొలగించగల పరికరాల నుండి ఫైల్లను సేకరిస్తుంది. ఇంకా, FadeStealer పరికరం యొక్క మైక్రోఫోన్ ద్వారా ఆడియోను రికార్డ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంది, దాడి వెనుక ఉన్న ముప్పు నటులు సంభాషణలను వినడానికి మరియు అదనపు గూఢచారాన్ని సేకరించేందుకు అనుమతిస్తుంది.
సేకరించిన డేటా నిర్దిష్ట %Temp% ఫోల్డర్లలో నిల్వ చేయబడుతుంది, ప్రతి ఒక్కటి డేటా ఎక్స్ఫిల్ట్రేషన్ ప్రక్రియలో ప్రత్యేక ప్రయోజనాన్ని అందిస్తాయి. మాల్వేర్ తీసిన స్క్రీన్షాట్లు %temp%\VSTelems_Fade\NgenPdbc ఫోల్డర్లో నిల్వ చేయబడతాయి, అయితే లాగిన్ చేసిన కీస్ట్రోక్లు %temp%\VSTelems_Fade\NgenPdbkలో నిల్వ చేయబడతాయి. %temp%\VSTelems_Fade\NgenPdbm ఫోల్డర్ మైక్రోఫోన్ వైర్ట్యాపింగ్ ద్వారా పొందిన డేటాను నిల్వ చేయడానికి అంకితం చేయబడింది. అదనంగా, కనెక్ట్ చేయబడిన స్మార్ట్ఫోన్ల నుండి డేటాను సేకరించడానికి %temp%\VSTelems_FadeIn ఫోల్డర్ ఉపయోగించబడుతుంది, అయితే %temp%\VSTelems_FadeOut ఫోల్డర్ తొలగించగల మీడియా పరికరాల నుండి సేకరించిన డేటా కోసం నిల్వ స్థానంగా పనిచేస్తుంది. ఈ నిర్దిష్ట ఫోల్డర్లు సేకరించిన డేటా నిర్వహించబడిందని మరియు సైబర్ గూఢచర్య ప్రచారాన్ని నిర్వహించే ముప్పు నటులకు అందుబాటులో ఉండేలా చూస్తాయి.
సామర్థ్యాన్ని నిర్వహించడానికి మరియు డేటా నిల్వను సులభతరం చేయడానికి, FadeStealer RAR ఆర్కైవ్ ఫైల్లలో దొంగిలించబడిన సమాచారాన్ని సేకరిస్తుంది. ఇది దొంగిలించబడిన డేటాను కుదించడానికి మరియు నిర్వహించడానికి మాల్వేర్ను అనుమతిస్తుంది, ఇది దాగి ఉండేలా మరియు ముప్పు నటుల ద్వారా తదుపరి నిర్మూలన కోసం సులభంగా రవాణా చేయగలదని నిర్ధారిస్తుంది.