FadeStealer

స్టార్‌క్రాఫ్ట్, రీపర్ లేదా రెడ్‌ఐస్ అని కూడా పిలువబడే హ్యాకింగ్ గ్రూప్ APT37, FadeStealer అని పిలువబడే కొత్తగా కనుగొనబడిన సమాచారాన్ని దొంగిలించే మాల్‌వేర్‌ను ఉపయోగించి ఇటీవల గమనించబడింది. ఈ అధునాతన మాల్వేర్ 'వైర్‌ట్యాపింగ్' సామర్థ్యాన్ని కలిగి ఉంటుంది, బాధితుల మైక్రోఫోన్‌ల నుండి రహస్యంగా ఆడియోను అడ్డగించడానికి మరియు రికార్డ్ చేయడానికి ముప్పు నటులను అనుమతిస్తుంది.

APT37 అనేది ఉత్తర కొరియా ప్రయోజనాలకు అనుగుణంగా సైబర్‌స్పియోనేజ్ కార్యకలాపాలను నిర్వహించడంలో గణనీయమైన ట్రాక్ రికార్డ్‌తో రాష్ట్ర-ప్రాయోజిత హ్యాకింగ్ సమూహంగా విస్తృతంగా విశ్వసించబడింది. వారి లక్ష్యాలలో ఉత్తర కొరియా ఫిరాయింపుదారులు, విద్యా సంస్థలు మరియు యూరోపియన్ యూనియన్‌లో ఉన్న సంస్థలు ఉన్నాయి.

మునుపటి ప్రచారాలలో, ఈ సమూహం వారి సైబర్ దాడులను నిర్వహించడానికి 'డాల్ఫిన్' మరియు ' M2RAT ' వంటి అనుకూల-నిర్మిత మాల్వేర్‌లను ఉపయోగించింది. కనెక్ట్ చేయబడిన మొబైల్ ఫోన్‌లతో సహా Windows పరికరాల్లోకి చొరబడేందుకు మరియు కమాండ్ ఎగ్జిక్యూషన్, డేటా దొంగతనం, క్రెడెన్షియల్ హార్వెస్టింగ్ మరియు స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయడం వంటి వివిధ హానికరమైన కార్యకలాపాలను సులభతరం చేయడానికి ఈ బెదిరింపు సాధనాలు ప్రత్యేకంగా రూపొందించబడ్డాయి.

కస్టమ్ బ్యాక్‌డోర్ మాల్వేర్ ఫేడ్‌స్టీలర్ థ్రెట్‌ను అందిస్తుంది

భద్రతా పరిశోధకులు ఇటీవలే AblyGo బ్యాక్‌డోర్ అని పిలువబడే APT37 ద్వారా దాడులలో ఉపయోగించిన మరొక అనుకూల మాల్వేర్ గురించిన వివరాలను కనుగొన్నారు. ఫేడ్‌స్టీలర్‌తో పాటు, ఈ అవాంఛిత సాధనాలు లక్ష్య వ్యవస్థల్లోకి చొరబడటానికి మరియు వివిధ హానికరమైన కార్యకలాపాలను సులభతరం చేయడానికి రూపొందించబడ్డాయి.

ఈ మాల్వేర్ యొక్క ప్రారంభ డెలివరీ పద్ధతిలో జోడించిన ఆర్కైవ్‌లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లు ఉంటాయి. ఈ ఆర్కైవ్‌లు 'password.chm' Windows CHM ఫైల్‌తో పాటు పాస్‌వర్డ్-రక్షిత Word మరియు Hangul Word ప్రాసెసర్ డాక్యుమెంట్‌లను (.docx మరియు .hwp ఫైల్‌లు) కలిగి ఉంటాయి. పత్రాలను అన్‌లాక్ చేయడానికి అవసరమైన పాస్‌వర్డ్‌ను పొందేందుకు CHM ఫైల్‌ను తెరవమని ఫిషింగ్ ఇమెయిల్‌లు స్వీకర్తలకు సూచించే అవకాశం ఉంది. అయినప్పటికీ, బాధితులకు తెలియకుండానే, ఈ చర్య వారి Windows పరికరాలలో సంక్రమణ ప్రక్రియను ప్రేరేపిస్తుంది.

CHM ఫైల్‌ను తెరిచిన తర్వాత, పత్రాలను అన్‌లాక్ చేయడానికి మోసపూరిత ప్రాంప్ట్ ఆరోపించిన పాస్‌వర్డ్‌ను ప్రదర్శిస్తుంది. అదే సమయంలో, ఫైల్ తెలివిగా డౌన్‌లోడ్ చేస్తుంది మరియు రిమోట్ పవర్‌షెల్ స్క్రిప్ట్‌ను అమలు చేస్తుంది, ఇది అధునాతన కార్యాచరణతో బ్యాక్‌డోర్‌గా పనిచేస్తుంది. ఈ PowerShell బ్యాక్‌డోర్ దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లతో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది, రాజీపడిన సిస్టమ్‌పై రిమోట్‌గా ఆదేశాలను అమలు చేయడానికి వారిని అనుమతిస్తుంది.

ఇంకా, బ్యాక్‌డోర్ దాడి యొక్క తరువాతి దశలలో 'AblyGo బ్యాక్‌డోర్' అని పిలువబడే అదనపు బ్యాక్‌డోర్‌ను అమలు చేయడానికి వీలు కల్పిస్తుంది. ఈ కొత్త బ్యాక్‌డోర్ అబ్లీ ప్లాట్‌ఫారమ్‌ను ప్రభావితం చేస్తుంది, డెవలపర్‌లు తమ అప్లికేషన్‌లలో నిజ-సమయ ఫీచర్‌లు మరియు సమాచార డెలివరీని పొందుపరచడానికి ఉపయోగించే API సేవ. అబ్లీ ప్లాట్‌ఫారమ్‌ను C2 ప్లాట్‌ఫారమ్‌గా ఉపయోగించడం ద్వారా, బెదిరింపు నటులు బేస్64-ఎన్‌కోడ్ చేసిన ఆదేశాలను అమలు కోసం బ్యాక్‌డోర్‌కు పంపగలరు మరియు అవుట్‌పుట్‌ను స్వీకరించగలరు. ఈ విధానం చట్టబద్ధమైన నెట్‌వర్క్ ట్రాఫిక్‌లో వారి హానికరమైన కార్యకలాపాలను అస్పష్టం చేయడానికి వారిని అనుమతిస్తుంది, వారి కార్యకలాపాలను గుర్తించడం మరియు పర్యవేక్షించడం మరింత సవాలుగా మారుతుంది.

సైబర్ గూఢచర్యం ప్రచారంలో 'AblyGo బ్యాక్‌డోర్' కీలక పాత్ర పోషిస్తుంది, ముప్పు నటులు ప్రివిలేజ్ ఎస్కలేషన్‌ను నిర్వహించడానికి, సెన్సిటివ్ డేటాను ఎక్స్‌ఫిల్ట్రేట్ చేయడానికి మరియు అదనపు మాల్వేర్ భాగాలను అందించడానికి వీలు కల్పిస్తుంది. అబ్లీ వంటి చట్టబద్ధమైన ప్లాట్‌ఫారమ్‌లను ఉపయోగించడం ద్వారా, బెదిరింపు నటులు నెట్‌వర్క్ పర్యవేక్షణ మరియు భద్రతా సాఫ్ట్‌వేర్ నుండి తప్పించుకోవాలని లక్ష్యంగా పెట్టుకున్నారు, తద్వారా వారి దాడుల ప్రభావాన్ని పెంచుతారు.

ఫేడ్‌స్టీలర్ థ్రెట్‌లో కనుగొనబడిన బెదిరింపు సామర్థ్యాలు

బ్యాక్‌డోర్లు చివరికి ఫేడ్‌స్టీలర్‌ను తుది పేలోడ్‌గా అందజేస్తాయి. ముప్పు అనేది Windows పరికరాల కోసం ప్రత్యేకంగా రూపొందించబడిన అత్యంత శక్తివంతమైన సమాచారాన్ని దొంగిలించే మాల్వేర్. ఇన్‌స్టాల్ చేసిన తర్వాత, FadeStealer ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ యొక్క చట్టబద్ధమైన 'ieinstall.exe' ప్రక్రియలోకి ప్రవేశించడానికి DLL సైడ్‌లోడింగ్ అనే సాంకేతికతను ఉపయోగిస్తుంది, దాని ఉనికిని సమర్థవంతంగా మభ్యపెడుతుంది.

FadeStealer నేపథ్యంలో రహస్యంగా పని చేస్తుంది, రాజీపడిన పరికరం నుండి అనేక రకాల సున్నితమైన సమాచారాన్ని వివేకంతో సేకరిస్తుంది. క్రమమైన 30 నిమిషాల వ్యవధిలో, మాల్వేర్ బాధితుల స్క్రీన్ స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేస్తుంది, లాగిన్ చేసిన కీస్ట్రోక్‌లను రికార్డ్ చేస్తుంది మరియు కనెక్ట్ చేయబడిన ఏదైనా స్మార్ట్‌ఫోన్‌లు లేదా తొలగించగల పరికరాల నుండి ఫైల్‌లను సేకరిస్తుంది. ఇంకా, FadeStealer పరికరం యొక్క మైక్రోఫోన్ ద్వారా ఆడియోను రికార్డ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంది, దాడి వెనుక ఉన్న ముప్పు నటులు సంభాషణలను వినడానికి మరియు అదనపు గూఢచారాన్ని సేకరించేందుకు అనుమతిస్తుంది.

సేకరించిన డేటా నిర్దిష్ట %Temp% ఫోల్డర్‌లలో నిల్వ చేయబడుతుంది, ప్రతి ఒక్కటి డేటా ఎక్స్‌ఫిల్ట్రేషన్ ప్రక్రియలో ప్రత్యేక ప్రయోజనాన్ని అందిస్తాయి. మాల్వేర్ తీసిన స్క్రీన్‌షాట్‌లు %temp%\VSTelems_Fade\NgenPdbc ఫోల్డర్‌లో నిల్వ చేయబడతాయి, అయితే లాగిన్ చేసిన కీస్ట్రోక్‌లు %temp%\VSTelems_Fade\NgenPdbkలో నిల్వ చేయబడతాయి. %temp%\VSTelems_Fade\NgenPdbm ఫోల్డర్ మైక్రోఫోన్ వైర్‌ట్యాపింగ్ ద్వారా పొందిన డేటాను నిల్వ చేయడానికి అంకితం చేయబడింది. అదనంగా, కనెక్ట్ చేయబడిన స్మార్ట్‌ఫోన్‌ల నుండి డేటాను సేకరించడానికి %temp%\VSTelems_FadeIn ఫోల్డర్ ఉపయోగించబడుతుంది, అయితే %temp%\VSTelems_FadeOut ఫోల్డర్ తొలగించగల మీడియా పరికరాల నుండి సేకరించిన డేటా కోసం నిల్వ స్థానంగా పనిచేస్తుంది. ఈ నిర్దిష్ట ఫోల్డర్‌లు సేకరించిన డేటా నిర్వహించబడిందని మరియు సైబర్ గూఢచర్య ప్రచారాన్ని నిర్వహించే ముప్పు నటులకు అందుబాటులో ఉండేలా చూస్తాయి.

సామర్థ్యాన్ని నిర్వహించడానికి మరియు డేటా నిల్వను సులభతరం చేయడానికి, FadeStealer RAR ఆర్కైవ్ ఫైల్‌లలో దొంగిలించబడిన సమాచారాన్ని సేకరిస్తుంది. ఇది దొంగిలించబడిన డేటాను కుదించడానికి మరియు నిర్వహించడానికి మాల్వేర్‌ను అనుమతిస్తుంది, ఇది దాగి ఉండేలా మరియు ముప్పు నటుల ద్వారా తదుపరి నిర్మూలన కోసం సులభంగా రవాణా చేయగలదని నిర్ధారిస్తుంది.