FadeStealer

กลุ่มแฮ็ก APT37 หรือที่เรียกว่า StarCruft, Reaper หรือ RedEyes เพิ่งถูกตรวจพบโดยใช้มัลแวร์ขโมยข้อมูลที่เพิ่งค้นพบชื่อ FadeStealer มัลแวร์ที่มีความซับซ้อนนี้รวมความสามารถ 'การดักฟังโทรศัพท์' ทำให้ผู้คุกคามสามารถสกัดกั้นและบันทึกเสียงจากไมโครโฟนของเหยื่ออย่างลับๆ

APT37 เป็นที่เชื่อกันอย่างกว้างขวางว่าเป็นกลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐและมีประวัติที่สำคัญในการดำเนินการจารกรรมทางไซเบอร์ที่สอดคล้องกับผลประโยชน์ของเกาหลีเหนือ เป้าหมายของพวกเขารวมถึงผู้แปรพักตร์จากเกาหลีเหนือ สถาบันการศึกษา และองค์กรในสหภาพยุโรป

ในแคมเปญก่อนหน้านี้ กลุ่มนี้ได้ใช้มัลแวร์ที่สร้างขึ้นเอง เช่น 'Dolphin' และ ' M2RAT ' เพื่อดำเนินการโจมตีทางไซเบอร์ เครื่องมือคุกคามเหล่านี้ได้รับการออกแบบมาโดยเฉพาะเพื่อแทรกซึมเข้าไปในอุปกรณ์ Windows รวมถึงโทรศัพท์มือถือที่เชื่อมต่อ และอำนวยความสะดวกในกิจกรรมที่เป็นอันตรายต่างๆ เช่น การดำเนินการตามคำสั่ง การโจรกรรมข้อมูล การเก็บเกี่ยวข้อมูลประจำตัว และการจับภาพหน้าจอ

มัลแวร์ประตูหลังแบบกำหนดเองส่งภัยคุกคาม FadeStealer

เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยได้เปิดเผยรายละเอียดเกี่ยวกับมัลแวร์แบบกำหนดเองอีกตัวที่ใช้ในการโจมตีโดย APT37 ซึ่งรู้จักกันในชื่อ AblyGo backdoor นอกจาก FadeStealer แล้ว เครื่องมือที่ไม่ต้องการเหล่านี้ยังออกแบบมาเพื่อแทรกซึมระบบเป้าหมายและอำนวยความสะดวกในกิจกรรมที่เป็นอันตรายต่างๆ

วิธีการส่งเริ่มต้นของมัลแวร์นี้เกี่ยวข้องกับอีเมลฟิชชิ่งที่มีไฟล์เก็บถาวรแนบมาด้วย ไฟล์เก็บถาวรเหล่านี้ประกอบด้วยเอกสาร Word และ Hangul Word Processor ที่ป้องกันด้วยรหัสผ่าน (ไฟล์ .docx และ .hwp) พร้อมด้วยไฟล์ Windows CHM 'password.chm' มีความเป็นไปได้สูงที่อีเมลฟิชชิ่งจะแนะนำให้ผู้รับเปิดไฟล์ CHM เพื่อรับรหัสผ่านที่จำเป็นในการปลดล็อกเอกสาร อย่างไรก็ตาม เหยื่อไม่เป็นที่รู้จัก การกระทำนี้ทำให้เกิดกระบวนการติดไวรัสบนอุปกรณ์ Windows ของพวกเขา

เมื่อเปิดไฟล์ CHM ข้อความหลอกลวงจะแสดงรหัสผ่านที่ถูกกล่าวหาเพื่อปลดล็อกเอกสาร พร้อมกันนี้ ไฟล์จะดาวน์โหลดและรันสคริปต์ PowerShell ระยะไกลอย่างรอบคอบ ซึ่งทำหน้าที่เป็นแบ็คดอร์ที่มีฟังก์ชันการทำงานขั้นสูง ประตูหลัง PowerShell นี้สร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตี ทำให้พวกเขาสามารถดำเนินการคำสั่งบนระบบที่ถูกบุกรุกจากระยะไกล

นอกจากนี้ แบ็คดอร์ยังช่วยอำนวยความสะดวกในการปรับใช้แบ็คดอร์เพิ่มเติมที่เรียกว่า 'ประตูหลัง AblyGo' ในระหว่างระยะหลังของการโจมตี แบ็คดอร์ใหม่นี้ใช้ประโยชน์จาก Ably Platform ซึ่งเป็นบริการ API ที่นักพัฒนาใช้เพื่อรวมฟีเจอร์เรียลไทม์และการส่งข้อมูลเข้ากับแอปพลิเคชันของตน ด้วยการใช้ Ably Platform เป็นแพลตฟอร์ม C2 ผู้คุกคามสามารถส่งคำสั่งที่เข้ารหัส base64 ไปยังประตูหลังเพื่อดำเนินการและรับเอาต์พุต วิธีการนี้ช่วยให้พวกเขาสร้างความสับสนให้กับกิจกรรมที่เป็นอันตรายภายในทราฟฟิกเครือข่ายที่ถูกต้อง ทำให้ยากต่อการตรวจจับและตรวจสอบการดำเนินงานของพวกเขา

'ประตูหลัง AblyGo' มีบทบาทสำคัญในแคมเปญจารกรรมทางไซเบอร์ ทำให้ผู้คุกคามสามารถดำเนินการยกระดับสิทธิพิเศษ กรองข้อมูลที่สำคัญ และส่งส่วนประกอบมัลแวร์เพิ่มเติม ด้วยการใช้แพลตฟอร์มที่ถูกกฎหมายเช่น Ably ผู้คุกคามมีเป้าหมายที่จะหลบเลี่ยงการตรวจสอบเครือข่ายและซอฟต์แวร์รักษาความปลอดภัย ซึ่งจะเป็นการเพิ่มประสิทธิภาพในการโจมตีของพวกเขา

ความสามารถในการคุกคามที่พบใน FadeStealer Threat

ในที่สุดแบ็คดอร์จะส่ง FadeStealer เป็นเพย์โหลดสุดท้าย ภัยคุกคามนี้เป็นมัลแวร์ขโมยข้อมูลที่มีศักยภาพสูงซึ่งออกแบบมาสำหรับอุปกรณ์ Windows โดยเฉพาะ เมื่อติดตั้งแล้ว FadeStealer จะใช้เทคนิคที่เรียกว่า DLL sideloading เพื่อใส่ตัวเองเข้าไปในกระบวนการ 'ieinstall.exe' ที่ถูกต้องของ Internet Explorer ซึ่งช่วยอำพรางการแสดงตนได้อย่างมีประสิทธิภาพ

FadeStealer ดำเนินการอย่างลับๆ ล่อๆ ในเบื้องหลัง เก็บเกี่ยวข้อมูลที่ละเอียดอ่อนหลากหลายประเภทจากอุปกรณ์ที่ถูกบุกรุกอย่างรอบคอบ ในช่วงเวลาปกติ 30 นาที มัลแวร์จะจับภาพหน้าจอของหน้าจอของเหยื่อ บันทึกการกดแป้นพิมพ์ที่บันทึกไว้ และรวบรวมไฟล์จากสมาร์ทโฟนหรืออุปกรณ์พกพาที่เชื่อมต่ออยู่ นอกจากนี้ FadeStealer ยังมีความสามารถในการบันทึกเสียงผ่านไมโครโฟนของอุปกรณ์ ทำให้ผู้คุกคามที่อยู่เบื้องหลังการโจมตีสามารถดักฟังการสนทนาและรวบรวมข้อมูลเพิ่มเติมได้

ข้อมูลที่รวบรวมจะถูกจัดเก็บไว้ในโฟลเดอร์ %Temp% ที่เฉพาะเจาะจง ซึ่งแต่ละโฟลเดอร์มีจุดประสงค์ที่แตกต่างกันภายในกระบวนการกรองข้อมูล ภาพหน้าจอที่ถ่ายโดยมัลแวร์จะถูกเก็บไว้ในโฟลเดอร์ %temp%\VSTelems_Fade\NgenPdbc ในขณะที่การกดแป้นพิมพ์ที่บันทึกจะถูกเก็บไว้ใน %temp%\VSTelems_Fade\NgenPdbk โฟลเดอร์ %temp%\VSTelems_Fade\NgenPdbm มีไว้สำหรับจัดเก็บข้อมูลที่ได้รับจากการดักฟังไมโครโฟน นอกจากนี้ โฟลเดอร์ %temp%\VSTelems_FadeIn ยังใช้สำหรับการรวบรวมข้อมูลจากสมาร์ทโฟนที่เชื่อมต่อ ในขณะที่โฟลเดอร์ %temp%\VSTelems_FadeOut ทำหน้าที่เป็นตำแหน่งจัดเก็บข้อมูลที่รวบรวมจากอุปกรณ์สื่อแบบถอดได้ โฟลเดอร์เฉพาะเหล่านี้ช่วยให้แน่ใจว่าข้อมูลที่รวบรวมได้รับการจัดระเบียบและสามารถเข้าถึงได้โดยผู้คุกคามที่จัดการแคมเปญจารกรรมทางไซเบอร์

เพื่อรักษาประสิทธิภาพและอำนวยความสะดวกในการจัดเก็บข้อมูล FadeStealer จะรวบรวมข้อมูลที่ถูกขโมยในไฟล์เก็บถาวร RAR สิ่งนี้ทำให้มัลแวร์สามารถบีบอัดและจัดระเบียบข้อมูลที่ถูกขโมย เพื่อให้มั่นใจว่ายังคงถูกปกปิดและเคลื่อนย้ายได้ง่ายสำหรับการกรองโดยผู้คุกคามในภายหลัง