FadeStealer

Die Hackergruppe APT37, auch bekannt als StarCruft, Reaper oder RedEyes, wurde kürzlich beim Einsatz einer neu entdeckten Malware namens FadeStealer beobachtet, die Informationen stiehlt. Diese hochentwickelte Malware verfügt über eine Abhörfunktion, die es den Bedrohungsakteuren ermöglicht, Audiosignale von den Mikrofonen der Opfer heimlich abzufangen und aufzuzeichnen.

Es wird allgemein angenommen, dass es sich bei APT37 um eine staatlich geförderte Hackergruppe mit einer bedeutenden Erfolgsbilanz bei der Durchführung von Cyberspionageoperationen handelt, die im Einklang mit den Interessen Nordkoreas stehen. Zu ihren Zielen gehörten nordkoreanische Überläufer, Bildungseinrichtungen und Organisationen mit Sitz in der Europäischen Union.

In früheren Kampagnen setzte diese Gruppe für ihre Cyberangriffe maßgeschneiderte Malware wie „Dolphin“ und „ M2RAT “ ein. Diese bedrohlichen Tools wurden speziell dafür entwickelt, Windows-Geräte, einschließlich verbundener Mobiltelefone, zu infiltrieren und verschiedene böswillige Aktivitäten wie die Ausführung von Befehlen, Datendiebstahl, das Sammeln von Anmeldeinformationen und das Erfassen von Screenshots zu ermöglichen.

Eine benutzerdefinierte Backdoor-Malware stellt die FadeStealer-Bedrohung dar

Sicherheitsforscher haben kürzlich Details zu einer weiteren benutzerdefinierten Malware aufgedeckt, die bei Angriffen von APT37 verwendet wird und als AblyGo-Backdoor bekannt ist. Neben FadeStealer sind diese unerwünschten Tools darauf ausgelegt, Zielsysteme zu infiltrieren und verschiedene schädliche Aktivitäten zu ermöglichen.

Die anfängliche Verbreitungsmethode dieser Malware umfasst Phishing-E-Mails, die angehängte Archive enthalten. Diese Archive bestehen aus passwortgeschützten Word- und Hangul-Textverarbeitungsdokumenten (.docx- und .hwp-Dateien) sowie einer Windows CHM-Datei „password.chm“. Es ist sehr wahrscheinlich, dass die Phishing-E-Mails die Empfänger dazu auffordern, die CHM-Datei zu öffnen, um an das zum Entsperren der Dokumente erforderliche Passwort zu gelangen. Allerdings löst diese Aktion, ohne dass die Opfer es merken, den Infektionsprozess auf ihren Windows-Geräten aus.

Beim Öffnen der CHM-Datei wird in einer irreführenden Eingabeaufforderung das angebliche Passwort zum Entsperren der Dokumente angezeigt. Gleichzeitig lädt die Datei diskret ein Remote-PowerShell-Skript herunter und führt es aus, das als Hintertür mit erweiterten Funktionen dient. Diese PowerShell-Hintertür stellt die Kommunikation mit den Command-and-Control (C2)-Servern der Angreifer her und ermöglicht es ihnen, Befehle auf dem kompromittierten System aus der Ferne auszuführen.

Darüber hinaus erleichtert die Hintertür den Einsatz einer zusätzlichen Hintertür, der sogenannten „AblyGo-Hintertür“, in späteren Phasen des Angriffs. Diese neue Hintertür nutzt die Ably-Plattform, einen API-Dienst, den Entwickler nutzen, um Echtzeitfunktionen und Informationsbereitstellung in ihre Anwendungen zu integrieren. Durch die Nutzung der Ably-Plattform als C2-Plattform können die Bedrohungsakteure Base64-codierte Befehle zur Ausführung an die Hintertür senden und die Ausgabe empfangen. Dieser Ansatz ermöglicht es ihnen, ihre böswilligen Aktivitäten im legitimen Netzwerkverkehr zu verschleiern, wodurch es schwieriger wird, ihre Vorgänge zu erkennen und zu überwachen.

Die „AblyGo-Hintertür“ spielt eine entscheidende Rolle in der Cyberspionagekampagne und ermöglicht es den Bedrohungsakteuren, eine Privilegieneskalation durchzuführen, sensible Daten zu exfiltrieren und zusätzliche Malware-Komponenten einzuschleusen. Durch die Nutzung legitimer Plattformen wie Ably zielen die Bedrohungsakteure darauf ab, Netzwerküberwachungs- und Sicherheitssoftware zu umgehen und so die Wirksamkeit ihrer Angriffe zu erhöhen.

Die bedrohlichen Fähigkeiten der FadeStealer-Bedrohung

Die Hintertüren liefern letztendlich FadeStealer als letzte Nutzlast. Bei der Bedrohung handelt es sich um eine hochwirksame Malware zum Informationsdiebstahl, die speziell für Windows-Geräte entwickelt wurde. Nach der Installation verwendet FadeStealer eine Technik namens DLL-Sideloading, um sich in den legitimen „ieinstall.exe“-Prozess des Internet Explorers einzuschleusen und so seine Präsenz effektiv zu verschleiern.

FadeStealer arbeitet heimlich im Hintergrund und sammelt diskret eine Vielzahl vertraulicher Informationen vom kompromittierten Gerät. In regelmäßigen Abständen von 30 Minuten erfasst die Malware Screenshots vom Bildschirm des Opfers, zeichnet protokollierte Tastenanschläge auf und sammelt Dateien von allen angeschlossenen Smartphones oder Wechseldatenträgern. Darüber hinaus verfügt FadeStealer über die Fähigkeit, Audio über das Mikrofon des Geräts aufzuzeichnen, sodass die Bedrohungsakteure hinter dem Angriff Gespräche belauschen und zusätzliche Informationen sammeln können.

Die gesammelten Daten werden in bestimmten %Temp%-Ordnern gespeichert, die jeweils einem bestimmten Zweck im Datenexfiltrationsprozess dienen. Von der Malware aufgenommene Screenshots werden im Ordner %temp%\VSTelems_Fade\NgenPdbc gespeichert, während protokollierte Tastatureingaben im Ordner %temp%\VSTelems_Fade\NgenPdbk gespeichert werden. Der Ordner %temp%\VSTelems_Fade\NgenPdbm dient zum Speichern von Daten, die durch das Abhören von Mikrofonen erhalten wurden. Darüber hinaus wird der Ordner %temp%\VSTelems_FadeIn zum Sammeln von Daten von verbundenen Smartphones verwendet, während der Ordner %temp%\VSTelems_FadeOut als Speicherort für Daten dient, die von Wechselmediengeräten gesammelt werden. Diese speziellen Ordner stellen sicher, dass die gesammelten Daten organisiert und für die Bedrohungsakteure zugänglich sind, die die Cyberspionagekampagne orchestrieren.

Um die Effizienz aufrechtzuerhalten und die Datenspeicherung zu erleichtern, sammelt FadeStealer die gestohlenen Informationen in RAR-Archivdateien. Dadurch kann die Malware die gestohlenen Daten komprimieren und organisieren und so sicherstellen, dass sie verborgen bleiben und für eine spätere Exfiltration durch die Bedrohungsakteure leicht transportiert werden können.