FadeStealer

StarCruft, Reaper veya RedEyes olarak da anılan bilgisayar korsanlığı grubu APT37'nin yakın zamanda FadeStealer adlı yeni keşfedilen bilgi çalan bir kötü amaçlı yazılım kullandığı gözlemlendi. Bu gelişmiş kötü amaçlı yazılım, tehdit aktörlerinin kurbanların mikrofonlarından gelen sesleri gizlice yakalamasına ve kaydetmesine olanak tanıyan bir 'dinleme' yeteneği içerir.

APT37'nin , Kuzey Kore'nin çıkarlarıyla uyumlu siber casusluk operasyonları yürütme konusunda önemli bir geçmişe sahip, devlet destekli bir bilgisayar korsanlığı grubu olduğuna inanılıyor. Hedefleri arasında Kuzey Koreli sığınmacılar, eğitim kurumları ve Avrupa Birliği merkezli kuruluşlar yer alıyor.

Önceki kampanyalarda bu grup, siber saldırılarını gerçekleştirmek için 'Dolphin' ve ' M2RAT ' gibi özel yapım kötü amaçlı yazılımları kullanmıştı. Bu tehdit araçları, bağlı cep telefonları da dahil olmak üzere Windows cihazlarına sızmak ve komut yürütme, veri hırsızlığı, kimlik bilgileri toplama ve ekran görüntüleri yakalama gibi çeşitli kötü amaçlı etkinlikleri kolaylaştırmak için özel olarak tasarlanmıştır.

Özel Bir Arka Kapı Kötü Amaçlı Yazılımı, FadeStealer Tehditini Sağlıyor

Güvenlik araştırmacıları kısa bir süre önce APT37 tarafından yapılan saldırılarda kullanılan ve AblyGo arka kapısı olarak bilinen başka bir özel kötü amaçlı yazılım hakkında ayrıntıları ortaya çıkardı. FadeStealer'ın yanı sıra bu istenmeyen araçlar, hedeflenen sistemlere sızmak ve çeşitli zararlı faaliyetleri kolaylaştırmak için tasarlanmıştır.

Bu kötü amaçlı yazılımın ilk dağıtım yöntemi, ekli arşivler içeren kimlik avı e-postalarını içerir. Bu arşivler, parola korumalı Word ve Hangul Kelime İşlemci belgelerinden (.docx ve .hwp dosyaları) ve bir 'password.chm' Windows CHM dosyasından oluşur. Kimlik avı e-postalarının, alıcılara, belgelerin kilidini açmak için gereken parolayı almak üzere CHM dosyasını açma talimatı vermesi yüksek olasılıktır. Ancak, kurbanların haberi olmadan, bu eylem onların Windows cihazlarına bulaşma sürecini tetikler.

CHM dosyasını açtıktan sonra, belgelerin kilidini açmak için aldatıcı bir bilgi istemi iddia edilen şifreyi gösterecektir. Eşzamanlı olarak, dosya, gelişmiş işlevselliğe sahip bir arka kapı görevi gören uzak bir PowerShell betiğini gizlice indirir ve yürütür. Bu PowerShell arka kapısı, saldırganların Komuta ve Kontrol (C2) sunucularıyla iletişim kurarak, güvenliği ihlal edilmiş sistemde uzaktan komut yürütmelerini sağlar.

Ayrıca arka kapı, saldırının sonraki aşamalarında 'AblyGo arka kapısı' olarak bilinen ek bir arka kapının konuşlandırılmasını kolaylaştırır. Bu yeni arka kapı, geliştiricilerin gerçek zamanlı özellikleri ve bilgi dağıtımını uygulamalarına dahil etmek için kullandıkları bir API hizmeti olan Ably Platformundan yararlanır. Ably Platformunu bir C2 platformu olarak kullanan tehdit aktörleri, yürütme için base64 kodlu komutları arka kapıya gönderebilir ve çıktıyı alabilir. Bu yaklaşım, kötü niyetli faaliyetlerini meşru ağ trafiği içinde gizlemelerine olanak tanıyarak, operasyonlarını tespit etmeyi ve izlemeyi daha zor hale getiriyor.

'AblyGo arka kapısı' siber casusluk harekâtında çok önemli bir rol oynuyor ve tehdit aktörlerinin ayrıcalık yükseltmesi yapmasına, hassas verileri sızdırmasına ve ek kötü amaçlı yazılım bileşenleri dağıtmasına olanak tanıyor. Tehdit aktörleri, Ably gibi yasal platformları kullanarak ağ izleme ve güvenlik yazılımlarından kaçmayı ve böylece saldırılarının etkinliğini artırmayı hedefliyor.

FadeStealer Tehditinde Bulunan Tehdit Yetenekleri

Arka kapılar nihayetinde FadeStealer'ı son bir yük olarak sunar. Tehdit, özellikle Windows cihazları için tasarlanmış, bilgi çalan oldukça güçlü bir kötü amaçlı yazılımdır. Kurulduktan sonra FadeStealer, kendisini Internet Explorer'ın meşru 'ieinstall.exe' işlemine enjekte etmek için DLL yandan yükleme adı verilen bir teknik kullanır ve varlığını etkili bir şekilde kamufle eder.

FadeStealer, güvenliği ihlal edilmiş cihazdan çok çeşitli hassas bilgileri ihtiyatlı bir şekilde toplayarak arka planda gizlice çalışır. Kötü amaçlı yazılım, 30 dakikalık düzenli aralıklarla kurbanın ekranının ekran görüntülerini yakalar, kaydedilen tuş vuruşlarını kaydeder ve bağlı tüm akıllı telefonlardan veya çıkarılabilir cihazlardan dosya toplar. Ayrıca FadeStealer, cihazın mikrofonu aracılığıyla ses kaydetme yeteneğine sahiptir ve saldırının arkasındaki tehdit aktörlerinin konuşmaları dinlemesine ve ek istihbarat toplamasına olanak tanır.

Toplanan veriler, her biri veri sızdırma sürecinde farklı bir amaca hizmet eden belirli %Temp% klasörlerinde saklanır. Kötü amaçlı yazılım tarafından alınan ekran görüntüleri %temp%\VSTelems_Fade\NgenPdbc klasöründe saklanırken, günlüğe kaydedilen tuş vuruşları %temp%\VSTelems_Fade\NgenPdbk klasöründe saklanır. %temp%\VSTelems_Fade\NgenPdbm klasörü, mikrofon dinleme yoluyla elde edilen verileri depolamaya ayrılmıştır. Ek olarak, bağlı akıllı telefonlardan veri toplamak için %temp%\VSTelems_FadeIn klasörü kullanılırken, %temp%\VSTelems_FadeOut klasörü çıkarılabilir medya cihazlarından toplanan veriler için depolama konumu olarak hizmet eder. Bu özel klasörler, toplanan verilerin organize edilmesini ve siber casusluk kampanyasını düzenleyen tehdit aktörleri tarafından erişilebilir olmasını sağlar.

FadeStealer, verimliliği korumak ve veri depolamayı kolaylaştırmak için çalınan bilgileri RAR arşiv dosyalarında toplar. Bu, kötü amaçlı yazılımın çalınan verileri sıkıştırmasını ve düzenlemesini sağlayarak, verilerin gizli kalmasını ve tehdit aktörleri tarafından daha sonra sızdırılması için kolayca taşınabilir olmasını sağlar.