褪色竊取者

黑客組織 APT37（也稱為 StarCruft、Reaper 或 RedEyes）最近被發現使用一種新發現的名為 FadeStealer 的信息竊取惡意軟件。這種複雜的惡意軟件具有“竊聽”功能，使威脅行為者能夠秘密攔截和記錄受害者麥克風的音頻。

人們普遍認為APT37是一個由國家支持的黑客組織，在開展符合朝鮮利益的網絡間諜活動方面有著豐富的記錄。他們的目標包括脫北者、教育機構和歐盟組織。

在之前的活動中，該組織使用了“Dolphin”和“ M2RAT ”等定制惡意軟件來實施網絡攻擊。這些威脅工具專門設計用於滲透 Windows 設備（包括聯網的移動電話），並促進各種惡意活動，例如命令執行、數據盜竊、憑據收集和捕獲屏幕截圖。

自定義後門惡意軟件帶來 FadeStealer 威脅

安全研究人員最近發現了 APT37 攻擊中使用的另一種定制惡意軟件的詳細信息，即 AblyGo 後門。與 FadeStealer 一起，這些不需要的工具旨在滲透目標系統並促進各種有害活動。

該惡意軟件的初始傳遞方法涉及包含附加檔案的網絡釣魚電子郵件。這些存檔包含受密碼保護的 Word 和 Hangul 字處理器文檔（.docx 和 .hwp 文件）以及“password.chm”Windows CHM 文件。網絡釣魚電子郵件很可能指示收件人打開 CHM 文件以獲取解鎖文檔所需的密碼。然而，受害者不知道的是，此操作會觸發其 Windows 設備上的感染過程。

打開 CHM 文件後，會出現欺騙性提示，顯示所謂的密碼以解鎖文檔。同時，該文件會謹慎地下載並執行遠程 PowerShell 腳本，該腳本充當具有高級功能的後門。此 PowerShell 後門與攻擊者的命令和控制 (C2) 服務器建立通信，使他們能夠在受感染的系統上遠程執行命令。

此外，該後門有助於在攻擊的後期部署一個名為“AblyGo 後門”的附加後門。這個新的後門利用了 Ably 平台，這是一種 API 服務，開發人員可以利用該服務將實時功能和信息傳遞合併到他們的應用程序中。通過利用 Ably 平台作為 C2 平台，威脅行為者可以將 Base64 編碼的命令發送到後門執行並接收輸出。這種方法使他們能夠在合法網絡流量中混淆其惡意活動，從而使檢測和監控其操作變得更加困難。

“AblyGo 後門”在網絡間諜活動中發揮著至關重要的作用，使威脅行為者能夠進行權限升級、洩露敏感數據並提供其他惡意軟件組件。通過利用 Ably 等合法平台，威脅行為者旨在逃避網絡監控和安全軟件，從而提高攻擊的有效性。

FadeStealer 威脅中發現的威脅功能

後門最終將 FadeStealer 作為最終有效負載。該威脅是專為 Windows 設備設計的高效信息竊取惡意軟件。安裝後，FadeStealer 會採用一種稱為 DLL 旁加載的技術將自身注入到 Internet Explorer 的合法“ieinstall.exe”進程中，從而有效地偽裝其存在。

FadeStealer 在後台秘密運行，從受感染的設備中謹慎地收集大量敏感信息。該惡意軟件每隔 30 分鐘就會捕獲受害者屏幕的屏幕截圖、記錄擊鍵記錄，並從任何連接的智能手機或可移動設備收集文件。此外，FadeStealer 還能夠通過設備的麥克風錄製音頻，從而使攻擊背後的威脅行為者能夠竊聽對話並收集更多情報。

收集的數據存儲在特定的 %Temp% 文件夾中，每個文件夾在數據洩露過程中都有不同的用途。惡意軟件拍攝的屏幕截圖存儲在 %temp%\VSTelems_Fade\NgenPdbc 文件夾中，而記錄的擊鍵存儲在 %temp%\VSTelems_Fade\NgenPdbk 中。 %temp%\VSTelems_Fade\NgenPdbm 文件夾專門用於存儲通過麥克風竊聽獲得的數據。此外，%temp%\VSTelems_FadeIn 文件夾用於從連接的智能手機收集數據，而 %temp%\VSTelems_FadeOut 文件夾則用作從可移動媒體設備收集的數據的存儲位置。這些特定文件夾可確保收集到的數據經過組織，可供策劃網絡間諜活動的威脅行為者訪問。

為了保持效率並方便數據存儲，FadeStealer 將被盜信息收集在 RAR 存檔文件中。這使得惡意軟件能夠壓縮和組織被竊取的數據，確保數據保持隱藏狀態並易於傳輸，以便威脅行為者隨後進行滲透。