FadeStealer

Ang pangkat ng pag-hack na APT37 na tinutukoy din bilang StarCruft, Reaper, o RedEyes, ay naobserbahan kamakailan gamit ang isang bagong natuklasang malware sa pagnanakaw ng impormasyon na tinatawag na FadeStealer. Ang sopistikadong malware na ito ay nagsasama ng isang 'wiretapping' na kakayahan, na nagbibigay-daan sa mga aktor ng pagbabanta na humarang at mag-record ng audio mula sa mga mikropono ng mga biktima nang palihim.

Ang APT37 ay malawak na pinaniniwalaan na isang grupong pangha-hack na inisponsor ng estado na may makabuluhang track record ng pagsasagawa ng mga operasyong cyberespionage na naaayon sa mga interes ng North Korea. Kasama sa kanilang mga target ang mga North Korean defectors, mga institusyong pang-edukasyon, at mga organisasyong nakabase sa European Union.

Sa mga nakaraang kampanya, ang pangkat na ito ay gumamit ng custom-made na malware gaya ng 'Dolphin' at ' M2RAT ' upang isagawa ang kanilang mga cyber attack. Ang mga nagbabantang tool na ito ay partikular na idinisenyo upang makalusot sa mga Windows device, kabilang ang mga nakakonektang mobile phone, at mapadali ang iba't ibang malisyosong aktibidad tulad ng command execution, data theft, credential harvesting, at pagkuha ng mga screenshot.

Isang Custom na Backdoor Malware ang Naghahatid ng Banta sa FadeStealer

Natuklasan kamakailan ng mga mananaliksik sa seguridad ang mga detalye tungkol sa isa pang custom na malware na ginagamit sa mga pag-atake ng APT37, na kilala bilang AblyGo backdoor. Sa tabi ng FadeStealer, ang mga hindi gustong tool na ito ay idinisenyo upang makalusot sa mga naka-target na system at mapadali ang iba't ibang nakakapinsalang aktibidad.

Ang paunang paraan ng paghahatid ng malware na ito ay nagsasangkot ng mga phishing na email na naglalaman ng mga naka-attach na archive. Ang mga archive na ito ay binubuo ng mga dokumento ng Word at Hangul Word Processor na protektado ng password (.docx at .hwp file), kasama ng isang 'password.chm' na Windows CHM file. Malaki ang posibilidad na ang mga email sa phishing ay nagtuturo sa mga tatanggap na buksan ang CHM file upang makuha ang password na kinakailangan upang ma-unlock ang mga dokumento. Gayunpaman, lingid sa kaalaman ng mga biktima, ang pagkilos na ito ay nagti-trigger ng proseso ng impeksyon sa kanilang mga Windows device.

Sa pagbubukas ng CHM file, isang mapanlinlang na prompt ang magpapakita ng di-umano'y password upang i-unlock ang mga dokumento. Sabay-sabay, maingat na dina-download at pinapagana ng file ang isang remote na PowerShell script, na nagsisilbing backdoor na may advanced na functionality. Ang PowerShell backdoor na ito ay nagtatatag ng komunikasyon sa mga server ng Command-and-Control (C2) ng mga umaatake, na nagbibigay-daan sa kanila na magsagawa ng mga command sa nakompromisong system nang malayuan.

Higit pa rito, pinapadali ng backdoor ang pag-deploy ng karagdagang backdoor na kilala bilang 'AblyGo backdoor' sa mga huling yugto ng pag-atake. Ang bagong backdoor na ito ay gumagamit ng Ably Platform, isang serbisyo ng API na ginagamit ng mga developer upang isama ang mga real-time na feature at paghahatid ng impormasyon sa kanilang mga application. Sa pamamagitan ng paggamit sa Ably Platform bilang isang C2 platform, ang mga threat actor ay maaaring magpadala ng mga base64-encoded na command sa backdoor para isagawa at matanggap ang output. Binibigyang-daan sila ng diskarteng ito na i-obfuscate ang kanilang mga malisyosong aktibidad sa loob ng lehitimong trapiko sa network, na ginagawang mas mahirap na makita at subaybayan ang kanilang mga operasyon.

Ang 'AblyGo backdoor' ay gumaganap ng isang mahalagang papel sa kampanya ng cyber espionage, na nagbibigay-daan sa mga aktor ng pagbabanta na magsagawa ng pagtaas ng pribilehiyo, mag-exfiltrate ng sensitibong data, at maghatid ng mga karagdagang bahagi ng malware. Sa pamamagitan ng paggamit ng mga lehitimong platform tulad ng Ably, nilalayon ng mga banta ng aktor na iwasan ang pagsubaybay sa network at software ng seguridad, sa gayon ay madaragdagan ang bisa ng kanilang mga pag-atake.

Ang Mga Kakayahang Pagbabanta na Natagpuan sa Banta ng FadeStealer

Ang mga backdoors sa huli ay naghahatid ng FadeStealer bilang panghuling payload. Ang banta ay isang napakalakas na malware sa pagnanakaw ng impormasyon na partikular na idinisenyo para sa mga Windows device. Kapag na-install na, ang FadeStealer ay gumagamit ng isang pamamaraan na tinatawag na DLL sideloading upang ipasok ang sarili sa lehitimong proseso ng 'ieinstall.exe' ng Internet Explorer, na epektibong nagbabalatkayo sa presensya nito.

Palihim na gumagana ang FadeStealer sa background, maingat na kumukuha ng malawak na hanay ng sensitibong impormasyon mula sa nakompromisong device. Sa mga regular na pagitan ng 30 minuto, ang malware ay kumukuha ng mga screenshot ng screen ng biktima, nagtatala ng mga naka-log na keystroke, at nangangalap ng mga file mula sa anumang konektadong mga smartphone o naaalis na device. Higit pa rito, ang FadeStealer ay nagtataglay ng kakayahang mag-record ng audio sa pamamagitan ng mikropono ng device, na nagbibigay-daan sa mga banta ng aktor sa likod ng pag-atake na mag-eavesdrop sa mga pag-uusap at mangalap ng karagdagang katalinuhan.

Ang nakolektang data ay iniimbak sa partikular na %Temp% na mga folder, ang bawat isa ay nagsisilbi ng isang natatanging layunin sa loob ng proseso ng pag-exfiltrate ng data. Ang mga screenshot na kinunan ng malware ay iniimbak sa %temp%\VSTelems_Fade\NgenPdbc folder, habang ang mga naka-log na keystroke ay iniimbak sa %temp%\VSTelems_Fade\NgenPdbk. Ang %temp%\VSTelems_Fade\NgenPdbm na folder ay nakatuon sa pag-iimbak ng data na nakuha sa pamamagitan ng microphone wiretapping. Bukod pa rito, ang %temp%\VSTelems_FadeIn na folder ay ginagamit para sa pagkolekta ng data mula sa mga konektadong smartphone, habang ang %temp%\VSTelems_FadeOut na folder ay nagsisilbing lokasyon ng storage para sa data na nakalap mula sa mga naaalis na media device. Tinitiyak ng mga partikular na folder na ito na ang nakolektang data ay organisado at naa-access ng mga banta na nag-oorkestra sa kampanyang cyber espionage.

Upang mapanatili ang kahusayan at mapadali ang pag-iimbak ng data, kinokolekta ng FadeStealer ang ninakaw na impormasyon sa mga RAR archive file. Nagbibigay-daan ito sa malware na i-compress at ayusin ang ninakaw na data, tinitiyak na ito ay nananatiling nakatago at madaling madala para sa kasunod na pag-exfiltrate ng mga aktor ng pagbabanta.