FadeStealer

Хакерська група APT37, яку також називають StarCruft, Reaper або RedEyes, нещодавно спостерігали за використанням нещодавно виявленої шкідливої програми під назвою FadeStealer для крадіжки інформації. Це складне зловмисне програмне забезпечення включає в себе можливість «прослуховування», що дає змогу зловмисникам таємно перехоплювати та записувати аудіо з мікрофонів жертв.

Поширена думка, що APT37 — це хакерська група, яка фінансується державою, і має значний досвід проведення операцій кібершпигунства в інтересах Північної Кореї. Серед їхніх цілей були перебіжчики з Північної Кореї, навчальні заклади та організації, що базуються в Європейському Союзі.

У попередніх кампаніях ця група використовувала спеціально створене шкідливе програмне забезпечення, наприклад «Dolphin» і « M2RAT », для здійснення своїх кібератак. Ці загрозливі інструменти були спеціально розроблені для проникнення на пристрої Windows, включаючи підключені мобільні телефони, і сприяння різноманітним зловмисним діям, таким як виконання команд, викрадення даних, збір облікових даних і створення знімків екрана.

Спеціальне шкідливе програмне забезпечення для бекдорів створює загрозу FadeStealer

Дослідники безпеки нещодавно виявили подробиці про ще одне спеціальне шкідливе програмне забезпечення, яке використовується в атаках APT37, відоме як бекдор AblyGo. Окрім FadeStealer, ці небажані інструменти призначені для проникнення в цільові системи та сприяння різноманітній шкідливій діяльності.

Початковий спосіб доставки цього шкідливого програмного забезпечення включає фішингові електронні листи, які містять вкладені архіви. Ці архіви складаються із захищених паролем документів текстового процесора Word і Hangul (файли .docx і .hwp), а також файл CHM Windows «password.chm». Цілком імовірно, що фішингові листи інструктують одержувачів відкрити файл CHM, щоб отримати пароль, необхідний для розблокування документів. Однак, без відома жертв, ця дія запускає процес зараження на їхніх пристроях Windows.

Після відкриття файлу CHM оманлива підказка відобразить передбачуваний пароль для розблокування документів. Одночасно файл непомітно завантажує та виконує віддалений сценарій PowerShell, який служить бекдором із розширеною функціональністю. Цей бекдор PowerShell встановлює зв’язок із серверами Command-and-Control (C2) зловмисників, дозволяючи їм віддалено виконувати команди в скомпрометованій системі.

Крім того, бекдор полегшує розгортання додаткового бекдору, відомого як «бекдор AblyGo» на пізніх етапах атаки. Цей новий бекдор використовує платформу Ably, службу API, яку розробники використовують для включення функцій у режимі реального часу та доставки інформації у свої програми. Використовуючи платформу Ably як платформу C2, суб’єкти загрози можуть надсилати команди, закодовані в base64, на бекдор для виконання та отримувати вихідні дані. Такий підхід дозволяє їм приховувати свою зловмисну діяльність у законному мережевому трафіку, що ускладнює виявлення та моніторинг їхніх операцій.

«Бекдор AblyGo» відіграє вирішальну роль у кампанії кібершпигунства, дозволяючи суб’єктам загрози підвищувати привілеї, вилучати конфіденційні дані та доставляти додаткові компоненти зловмисного програмного забезпечення. Використовуючи такі законні платформи, як Ably, зловмисники намагаються уникнути моніторингу мережі та програмного забезпечення безпеки, підвищуючи таким чином ефективність своїх атак.

Загрозливі можливості FadeStealer Threat

Зрештою, бекдори доставляють FadeStealer як остаточне корисне навантаження. Загрозою є дуже потужне зловмисне програмне забезпечення для крадіжки інформації, розроблене спеціально для пристроїв Windows. Після встановлення FadeStealer використовує техніку під назвою DLL sideloading, щоб вставити себе в законний процес «ieinstall.exe» Internet Explorer, ефективно маскуючи його присутність.

FadeStealer працює непомітно у фоновому режимі, непомітно збираючи широкий спектр конфіденційної інформації зі зламаного пристрою. З регулярними інтервалами в 30 хвилин зловмисне програмне забезпечення робить скріншоти екрана жертви, записує зареєстровані натискання клавіш і збирає файли з будь-яких підключених смартфонів або знімних пристроїв. Крім того, FadeStealer має можливість записувати аудіо через мікрофон пристрою, що дозволяє особам, які стоять за атакою, підслуховувати розмови та збирати додаткові дані.

Зібрані дані зберігаються в окремих папках %Temp%, кожна з яких служить певній меті в процесі вилучення даних. Скріншоти, зроблені шкідливою програмою, зберігаються в папці %temp%\VSTelems_Fade\NgenPdbc, а зареєстровані натискання клавіш зберігаються в %temp%\VSTelems_Fade\NgenPdbk. Папка %temp%\VSTelems_Fade\NgenPdbm призначена для зберігання даних, отриманих під час прослуховування мікрофонів. Крім того, папка %temp%\VSTelems_FadeIn використовується для збору даних із підключених смартфонів, а папка %temp%\VSTelems_FadeOut служить місцем зберігання даних, зібраних зі знімних носіїв. Ці спеціальні папки гарантують, що зібрані дані впорядковані та доступні для зловмисників, які організовують кампанію кібершпигунства.

Для підтримки ефективності та полегшення зберігання даних FadeStealer збирає викрадену інформацію в архівні файли RAR. Це дозволяє зловмисному програмному забезпеченню стискати та впорядковувати вкрадені дані, гарантуючи, що вони залишаться прихованими та легко транспортуються для подальшого викрадання зловмисниками.