褪色窃取者

黑客组织 APT37（也称为 StarCruft、Reaper 或 RedEyes）最近被发现使用一种新发现的名为 FadeStealer 的信息窃取恶意软件。这种复杂的恶意软件具有“窃听”功能，使威胁行为者能够秘密拦截和记录受害者麦克风的音频。

人们普遍认为APT37是一个由国家支持的黑客组织，在开展符合朝鲜利益的网络间谍活动方面有着丰富的记录。他们的目标包括脱北者、教育机构和欧盟组织。

在之前的活动中，该组织使用了“Dolphin”和“ M2RAT ”等定制恶意软件来实施网络攻击。这些威胁工具专门设计用于渗透 Windows 设备（包括联网的移动电话），并促进各种恶意活动，例如命令执行、数据盗窃、凭据收集和捕获屏幕截图。

自定义后门恶意软件带来 FadeStealer 威胁

安全研究人员最近发现了 APT37 攻击中使用的另一种定制恶意软件的详细信息，即 AblyGo 后门。与 FadeStealer 一起，这些不需要的工具旨在渗透目标系统并促进各种有害活动。

该恶意软件的初始传递方法涉及包含附加档案的网络钓鱼电子邮件。这些存档包含受密码保护的 Word 和 Hangul 字处理器文档（.docx 和 .hwp 文件）以及“password.chm”Windows CHM 文件。网络钓鱼电子邮件很可能指示收件人打开 CHM 文件以获取解锁文档所需的密码。然而，受害者不知道的是，此操作会触发其 Windows 设备上的感染过程。

打开 CHM 文件后，会出现欺骗性提示，显示所谓的密码以解锁文档。同时，该文件会谨慎地下载并执行远程 PowerShell 脚本，该脚本充当具有高级功能的后门。此 PowerShell 后门与攻击者的命令和控制 (C2) 服务器建立通信，使他们能够在受感染的系统上远程执行命令。

此外，该后门有助于在攻击的后期部署一个名为“AblyGo 后门”的附加后门。这个新的后门利用了 Ably 平台，这是一种 API 服务，开发人员可以利用该服务将实时功能和信息传递合并到他们的应用程序中。通过利用 Ably 平台作为 C2 平台，威胁行为者可以将 Base64 编码的命令发送到后门执行并接收输出。这种方法使他们能够在合法网络流量中混淆其恶意活动，从而使检测和监控其操作变得更加困难。

“AblyGo 后门”在网络间谍活动中发挥着至关重要的作用，使威胁行为者能够进行权限升级、泄露敏感数据并提供其他恶意软件组件。通过利用 Ably 等合法平台，威胁行为者旨在逃避网络监控和安全软件，从而提高攻击的有效性。

FadeStealer 威胁中发现的威胁功能

后门最终将 FadeStealer 作为最终有效负载。该威胁是专为 Windows 设备设计的高效信息窃取恶意软件。安装后，FadeStealer 会采用一种称为 DLL 旁加载的技术将自身注入到 Internet Explorer 的合法“ieinstall.exe”进程中，从而有效地伪装其存在。

FadeStealer 在后台秘密运行，从受感染的设备中谨慎地收集大量敏感信息。该恶意软件每隔 30 分钟就会捕获受害者屏幕的屏幕截图、记录击键记录，并从任何连接的智能手机或可移动设备收集文件。此外，FadeStealer 还能够通过设备的麦克风录制音频，从而使攻击背后的威胁行为者能够窃听对话并收集更多情报。

收集的数据存储在特定的 %Temp% 文件夹中，每个文件夹在数据泄露过程中都有不同的用途。恶意软件拍摄的屏幕截图存储在 %temp%\VSTelems_Fade\NgenPdbc 文件夹中，而记录的击键存储在 %temp%\VSTelems_Fade\NgenPdbk 中。 %temp%\VSTelems_Fade\NgenPdbm 文件夹专门用于存储通过麦克风窃听获得的数据。此外，%temp%\VSTelems_FadeIn 文件夹用于从连接的智能手机收集数据，而 %temp%\VSTelems_FadeOut 文件夹则用作从可移动媒体设备收集的数据的存储位置。这些特定文件夹可确保收集到的数据经过组织，可供策划网络间谍活动的威胁行为者访问。

为了保持效率并方便数据存储，FadeStealer 将被盗信息收集在 RAR 存档文件中。这使得恶意软件能够压缩和组织被窃取的数据，确保数据保持隐藏状态并易于传输，以便威胁行为者随后进行渗透。