ΑρχικήSecurityΟι χάκερ APT37 αναπτύσσουν το νέο malware υποκλοπής FadeStealer

Οι χάκερ APT37 αναπτύσσουν το νέο malware υποκλοπής FadeStealer

Η βορειοκορεατική ομάδα hacking APT37 έχει αναπτύξει ένα νέο κακόβουλο λογισμικό “FadeStealer” για την κλοπή πληροφοριών που περιέχει μια λειτουργία “υποκλοπής”, η οποία επιτρέπει στον απειλητικό παράγοντα να παρακολουθεί και να καταγράφει από τα μικρόφωνα των θυμάτων.

Η APT37, επίσης γνωστή ως StarCruft, Reaper ή RedEyes, πιστεύεται ότι είναι μια κρατικά χρηματοδοτούμενη ομάδα hacking με μακρά ιστορία στη διεξαγωγή επιθέσεων κατασκοπείας στον κυβερνοχώρο, ευθυγραμμισμένη με τα συμφέροντα της Βόρειας Κορέας. Οι επιθέσεις αυτές έχουν ως στόχο Βορειοκορεάτες αποστάτες, εκπαιδευτικά ιδρύματα και οργανισμούς που εδρεύουν στην ΕΕ.

Στο παρελθόν, οι χάκερ ήταν γνωστό ότι χρησιμοποιούσαν προσαρμοσμένο κακόβουλο λογισμικό, όπως το “Dolphin” και το “M2RAT”, για να εκτελούν εντολές και να κλέβουν δεδομένα, credentials και screenshot από συσκευές Windows και ακόμη και συνδεδεμένα κινητά τηλέφωνα.

Δείτε επίσης: Η ομάδα hacking NoName057 επιτέθηκε σε λιμάνια της Ολλανδίας και του Βελγίου

FadeStealer

Δείτε επίσης: AnyConnect: Κυκλοφόρησε PoC για το σφάλμα Cisco που δίνει προνόμια SYSTEM

Ξεκινά με ένα αρχείο CHM

Σε μια νέα αναφορά από το Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης της AhnLab Security (ASEC), οι ερευνητές παρέχουν πληροφορίες για νέο προσαρμοσμένο κακόβουλο λογισμικό με την ονομασία «AblyGo backdoor» και «FadeStealer» που χρησιμοποιούν οι απειλητικοί φορείς σε επιθέσεις κυβερνοκατασκοπείας.

Το κακόβουλο λογισμικό πιστεύεται ότι παραδόθηκε με τη χρήση ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” με συνημμένα αρχεία που περιείχαν έγγραφα Word και Hangul Word Processor (.docx και .hwp αρχεία) που προστατεύονται με κωδικό πρόσβασης και ένα αρχείο Windows CHM “password.chm”.

Η ASEV πιστεύει ότι τα ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” καθοδηγούν τον παραλήπτη να ανοίξει το αρχείο CHM προκειμένου να λάβει τον κωδικό πρόσβασης για τα έγγραφα, ο οποίος στη συνέχεια ξεκινά τη διαδικασία μόλυνσης στη συσκευή Windows.

Μόλις ανοίξει το αρχείο CHM, θα εμφανιστεί ο υποτιθέμενος κωδικός πρόσβασης για το άνοιγμα του εγγράφου, αλλά επίσης θα κατεβάσει και θα εκτελέσει κρυφά ένα απομακρυσμένο PowerShell script, το οποίο διαθέτει λειτουργίες backdoor και είναι προγραμματισμένο να κάνει αυτόματη εκκίνηση με τα Windows.

Αυτό το PowerShell backdoor επικοινωνεί με τους διακομιστές εντολών και ελέγχου του επιτιθέμενου και εκτελεί οποιεσδήποτε εντολές στέλνουν οι επιτιθέμενοι.

Το backdoor χρησιμοποιείται για την ανάπτυξη ενός πρόσθετου backdoor GoLang, η οποία χρησιμοποιείται στα μεταγενέστερα στάδια της επίθεσης για την κλιμάκωση των προνομίων, την κλοπή δεδομένων και την παράδοση περαιτέρω κακόβουλου λογισμικού.

Αυτό το νέο backdoor ονομάζεται «AblyGo backdoor», καθώς χρησιμοποιεί την πλατφόρμα Ably, μια υπηρεσία API που επιτρέπει στους προγραμματιστές να αναπτύσσουν λειτουργίες και παράδοση πληροφοριών σε πραγματικό χρόνο στις εφαρμογές τους.

Οι απειλητικοί φορείς χρησιμοποιούν το ABLY ως πλατφόρμα εντολών και ελέγχου για να στέλνουν εντολές κωδικοποιημένες με base64 στo backdoor, προκειμένου να τις εκτελέσει και στη συνέχεια να λάβει οποιαδήποτε έξοδο, την οποία οι απειλητικοί φορείς ανακτούν αργότερα.

Καθώς πρόκειται για μια νόμιμη πλατφόρμα, είναι πιθανό να χρησιμοποιείται από απειλητικούς φορείς για να παρακάμπτουν την παρακολούθηση του δικτύου και το λογισμικό ασφαλείας.

Το ASE-C απέκτησε πρόσβαση στο κλειδί API του Ably που χρησιμοποιούσε το backdoor και μπορούσε να παρακολουθεί ορισμένες από τις εντολές που εξέδιδαν οι επιτιθέμενοι. Αυτές οι εντολές απεικόνιζαν τον τρόπο με τον οποίο οι χάκερ χρησιμοποίησαν το backdoor για να παραθέσουν τα αρχεία σε έναν κατάλογο, να μετονομάσουν ένα ψεύτικο αρχείο .jpg σε αρχείο .exe και στη συνέχεια να το εκτελέσουν.

Ωστόσο, είναι τεχνικά δυνατό για τον απειλητικό παράγοντα να στείλει οποιαδήποτε εντολή επιθυμεί να εκτελέσει.

Δείτε επίσης: iOttie: Ανακοίνωσε παραβίαση δεδομένων

Το FadeStealer παρακολουθεί τη συσκευή σας

Τελικά, τα backdoor αναπτύσσουν ένα τελικό payload με τη μορφή του “FadeStealer”, ενός κακόβουλου λογισμικού που μπορεί να κλέψει πληροφορίες από συσκευές Windows.

Όταν εγκατασταθεί, το FadeStealer εγχέεται χρησιμοποιώντας DLL sideloading στη νόμιμη διαδικασία ‘ieinstall.exe’ του Internet Explorer και αρχίζει να κλέβει δεδομένα από τη συσκευή και να τα αποθηκεύει σε αρχεία RAR κάθε 30 λεπτά.

Τα δεδομένα περιλαμβάνουν screenshots, logged keystrokes, αρχεία που συλλέγονται από συνδεδεμένα smartphones και αφαιρούμενες συσκευές. Το κακόβουλο λογισμικό έχει επίσης τη δυνατότητα να καταγράφει ήχο από ένα συνδεδεμένο μικρόφωνο, επιτρέποντας στους απειλητικούς φορείς να παρακολουθούν συνομιλίες.

Αυτά τα δεδομένα συλλέγονται στους ακόλουθους φακέλους %Temp%:

Στη συνέχεια, οι απειλητικοί φορείς μπορούν να αναλύσουν τα δεδομένα που συλλέγονται για να κλέψουν ευαίσθητες πληροφορίες για χρήση από την κυβέρνηση της Βόρειας Κορέας ή να πραγματοποιήσουν περαιτέρω επιθέσεις.

Το APT37 δεν είναι ο μόνος βορειοκορεατικός απειλητικός φορέας που χρησιμοποιεί αρχεία CHM για την ανάπτυξη malware.

Η ASEK ανέφερε σήμερα ότι η κρατικά υποστηριζόμενη ομάδα hacking Kimsuky χρησιμοποιεί αρχεία CHM σε επιθέσεις phishing για την ανάπτυξη κακόβουλων script που κλέβουν πληροφορίες χρήστη και εγκαθιστούν πρόσθετο malware.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS