FadeStealer

Nhóm hack APT37 còn được gọi là StarCruft, Reaper hoặc RedEyes, gần đây đã bị phát hiện sử dụng phần mềm độc hại đánh cắp thông tin mới được phát hiện có tên là FadeStealer. Phần mềm độc hại tinh vi này kết hợp khả năng 'nghe lén', cho phép các tác nhân đe dọa chặn và ghi lại âm thanh từ micrô của nạn nhân một cách bí mật.

APT37 được cho là một nhóm tin tặc do nhà nước tài trợ với thành tích đáng kể trong việc tiến hành các hoạt động gián điệp mạng phù hợp với lợi ích của Triều Tiên. Mục tiêu của họ bao gồm những người đào thoát Bắc Triều Tiên, các cơ sở giáo dục và các tổ chức có trụ sở tại Liên minh Châu Âu.

Trong các chiến dịch trước đó, nhóm này đã sử dụng phần mềm độc hại tùy chỉnh như 'Dolphin' và ' M2RAT ' để thực hiện các cuộc tấn công mạng của họ. Các công cụ đe dọa này được thiết kế đặc biệt để xâm nhập vào các thiết bị Windows, bao gồm cả điện thoại di động được kết nối và tạo điều kiện cho các hoạt động độc hại khác nhau như thực thi lệnh, đánh cắp dữ liệu, thu thập thông tin xác thực và chụp ảnh màn hình.

Phần mềm độc hại Backdoor tùy chỉnh mang đến mối đe dọa FadeStealer

Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra thông tin chi tiết về một phần mềm độc hại tùy chỉnh khác được sử dụng trong các cuộc tấn công của APT37, được gọi là cửa hậu AblyGo. Cùng với FadeStealer, những công cụ không mong muốn này được thiết kế để xâm nhập vào các hệ thống được nhắm mục tiêu và tạo điều kiện cho các hoạt động gây hại khác nhau.

Phương thức phân phối ban đầu của phần mềm độc hại này liên quan đến các email lừa đảo có chứa các tệp lưu trữ đính kèm. Các kho lưu trữ này bao gồm các tài liệu Word và Hangul Word Processor được bảo vệ bằng mật khẩu (tệp .docx và .hwp), cùng với tệp Windows CHM 'password.chm'. Rất có khả năng các email lừa đảo hướng dẫn người nhận mở tệp CHM để lấy mật khẩu cần thiết để mở khóa tài liệu. Tuy nhiên, nạn nhân không hề hay biết, hành động này sẽ kích hoạt quá trình lây nhiễm trên thiết bị Windows của họ.

Khi mở tệp CHM, một lời nhắc lừa đảo sẽ hiển thị mật khẩu bị cáo buộc để mở khóa tài liệu. Đồng thời, tệp tải xuống một cách kín đáo và thực thi tập lệnh PowerShell từ xa, đóng vai trò là cửa sau với chức năng nâng cao. Cửa hậu PowerShell này thiết lập giao tiếp với máy chủ Command-and-Control (C2) của kẻ tấn công, cho phép chúng thực thi các lệnh trên hệ thống bị xâm nhập từ xa.

Hơn nữa, cửa hậu tạo điều kiện cho việc triển khai một cửa hậu bổ sung được gọi là 'cửa hậu AblyGo' trong các giai đoạn sau của cuộc tấn công. Cửa hậu mới này tận dụng Nền tảng Ably, một dịch vụ API mà các nhà phát triển sử dụng để kết hợp các tính năng thời gian thực và phân phối thông tin vào ứng dụng của họ. Bằng cách sử dụng Nền tảng Ably làm nền tảng C2, các tác nhân đe dọa có thể gửi các lệnh được mã hóa base64 tới cửa sau để thực thi và nhận đầu ra. Cách tiếp cận này cho phép chúng che giấu các hoạt động độc hại trong lưu lượng mạng hợp pháp, khiến việc phát hiện và giám sát hoạt động của chúng trở nên khó khăn hơn.

'Cửa hậu AblyGo' đóng một vai trò quan trọng trong chiến dịch gián điệp mạng, cho phép các tác nhân đe dọa tiến hành leo thang đặc quyền, lấy cắp dữ liệu nhạy cảm và cung cấp các thành phần phần mềm độc hại bổ sung. Bằng cách sử dụng các nền tảng hợp pháp như Ably, những kẻ đe dọa nhằm mục đích trốn tránh phần mềm bảo mật và giám sát mạng, do đó làm tăng hiệu quả của các cuộc tấn công của chúng.

Các khả năng đe dọa được tìm thấy trong mối đe dọa FadeStealer

Cuối cùng, các cửa hậu cung cấp FadeStealer dưới dạng tải trọng cuối cùng. Mối đe dọa này là một phần mềm độc hại đánh cắp thông tin cực mạnh được thiết kế dành riêng cho các thiết bị Windows. Sau khi được cài đặt, FadeStealer sử dụng một kỹ thuật có tên là DLL sideloading để đưa chính nó vào quy trình 'ieinstall.exe' hợp pháp của Internet Explorer, ngụy trang một cách hiệu quả sự hiện diện của nó.

FadeStealer hoạt động lén lút trong nền, kín đáo thu thập nhiều loại thông tin nhạy cảm từ thiết bị bị xâm nhập. Cứ sau 30 phút đều đặn, phần mềm độc hại sẽ chụp ảnh màn hình của nạn nhân, ghi lại các lần gõ phím đã ghi và thu thập các tệp từ mọi điện thoại thông minh hoặc thiết bị di động được kết nối. Hơn nữa, FadeStealer sở hữu khả năng ghi lại âm thanh qua micrô của thiết bị, cho phép những kẻ đe dọa đằng sau cuộc tấn công nghe lén các cuộc trò chuyện và thu thập thêm thông tin tình báo.

Dữ liệu đã thu thập được lưu trữ trong các thư mục %Temp% cụ thể, mỗi thư mục phục vụ một mục đích riêng biệt trong quá trình lọc dữ liệu. Ảnh chụp màn hình do phần mềm độc hại chụp được lưu trữ trong thư mục %temp%\VSTelems_Fade\NgenPdbc, trong khi các lần nhấn phím đã ghi lại được lưu trữ trong %temp%\VSTelems_Fade\NgenPdbk. Thư mục %temp%\VSTelems_Fade\NgenPdbm được dành riêng để lưu trữ dữ liệu thu được thông qua nghe lén micrô. Ngoài ra, thư mục %temp%\VSTelems_FadeIn được sử dụng để thu thập dữ liệu từ điện thoại thông minh được kết nối, trong khi thư mục %temp%\VSTelems_FadeOut đóng vai trò là vị trí lưu trữ dữ liệu được thu thập từ các thiết bị phương tiện di động. Các thư mục cụ thể này đảm bảo rằng dữ liệu đã thu thập được sắp xếp và có thể truy cập được đối với các tác nhân đe dọa đang dàn dựng chiến dịch gián điệp mạng.

Để duy trì hiệu quả và tạo điều kiện lưu trữ dữ liệu, FadeStealer thu thập thông tin bị đánh cắp trong các tệp lưu trữ RAR. Điều này cho phép phần mềm độc hại nén và sắp xếp dữ liệu bị đánh cắp, đảm bảo rằng dữ liệu vẫn được che giấu và có thể dễ dàng vận chuyển để các tác nhân đe dọa đánh cắp sau này.