FadeStealer

Le groupe de piratage APT37, également appelé StarCruft, Reaper ou RedEyes, a récemment été observé en train d'utiliser un logiciel malveillant de vol d'informations récemment découvert appelé FadeStealer. Ce logiciel malveillant sophistiqué intègre une capacité d'« écoute électronique », permettant aux acteurs de la menace d'intercepter et d'enregistrer secrètement l'audio des microphones des victimes.

APT37 est largement considéré comme un groupe de piratage parrainé par l'État avec une expérience significative dans la conduite d'opérations de cyberespionnage alignées sur les intérêts de la Corée du Nord. Leurs cibles comprenaient des transfuges nord-coréens, des établissements d'enseignement et des organisations basées dans l'Union européenne.

Lors de campagnes précédentes, ce groupe a utilisé des logiciels malveillants sur mesure tels que « Dolphin » et « M2RAT » pour mener à bien leurs cyberattaques. Ces outils menaçants ont été spécialement conçus pour infiltrer les appareils Windows, y compris les téléphones mobiles connectés, et faciliter diverses activités malveillantes telles que l'exécution de commandes, le vol de données, la collecte d'informations d'identification et la capture de captures d'écran.

Un logiciel malveillant de porte dérobée personnalisé livre la menace FadeStealer

Les chercheurs en sécurité ont récemment découvert des détails sur un autre logiciel malveillant personnalisé utilisé dans les attaques par APT37, connu sous le nom de porte dérobée AblyGo. Aux côtés de FadeStealer, ces outils indésirables sont conçus pour infiltrer les systèmes ciblés et faciliter diverses activités nuisibles.

La méthode de livraison initiale de ce logiciel malveillant implique des e-mails de phishing contenant des archives jointes. Ces archives se composent de documents Word et Hangul Word Processor protégés par un mot de passe (fichiers .docx et .hwp), ainsi que d'un fichier Windows CHM « password.chm ». Il est fort probable que les e-mails de phishing demandent aux destinataires d'ouvrir le fichier CHM pour obtenir le mot de passe requis pour déverrouiller les documents. Cependant, à l'insu des victimes, cette action déclenche le processus d'infection sur leurs appareils Windows.

Lors de l'ouverture du fichier CHM, une invite trompeuse affichera le mot de passe présumé pour déverrouiller les documents. Simultanément, le fichier télécharge et exécute discrètement un script PowerShell distant, qui sert de porte dérobée avec des fonctionnalités avancées. Cette porte dérobée PowerShell établit la communication avec les serveurs Command-and-Control (C2) des attaquants, leur permettant d'exécuter à distance des commandes sur le système compromis.

De plus, la porte dérobée facilite le déploiement d'une porte dérobée supplémentaire connue sous le nom de «porte dérobée AblyGo» au cours des dernières étapes de l'attaque. Cette nouvelle porte dérobée exploite la plate-forme Ably, un service d'API que les développeurs utilisent pour intégrer des fonctionnalités en temps réel et la diffusion d'informations dans leurs applications. En utilisant la plate-forme Ably en tant que plate-forme C2, les pirates peuvent envoyer des commandes encodées en base64 à la porte dérobée pour exécution et recevoir le résultat. Cette approche leur permet de dissimuler leurs activités malveillantes dans le trafic réseau légitime, ce qui rend plus difficile la détection et la surveillance de leurs opérations.

La « porte dérobée AblyGo » joue un rôle crucial dans la campagne de cyberespionnage, permettant aux acteurs de la menace de procéder à une escalade de privilèges, d'exfiltrer des données sensibles et de fournir des composants de logiciels malveillants supplémentaires. En utilisant des plates-formes légitimes comme Ably, les acteurs de la menace visent à échapper aux logiciels de surveillance et de sécurité du réseau, augmentant ainsi l'efficacité de leurs attaques.

Les capacités menaçantes trouvées dans la menace FadeStealer

Les portes dérobées fournissent finalement FadeStealer comme charge utile finale. La menace est un logiciel malveillant de vol d'informations très puissant conçu spécifiquement pour les appareils Windows. Une fois installé, FadeStealer utilise une technique appelée DLL sideloading pour s'injecter dans le processus légitime « ieinstall.exe » d'Internet Explorer, camouflant efficacement sa présence.

FadeStealer fonctionne furtivement en arrière-plan, récoltant discrètement un large éventail d'informations sensibles à partir de l'appareil compromis. À intervalles réguliers de 30 minutes, le logiciel malveillant capture des captures d'écran de l'écran de la victime, enregistre les frappes enregistrées et rassemble les fichiers de tous les smartphones ou appareils amovibles connectés. De plus, FadeStealer possède la capacité d'enregistrer de l'audio via le microphone de l'appareil, permettant aux acteurs de la menace derrière l'attaque d'écouter les conversations et de recueillir des renseignements supplémentaires.

Les données collectées sont stockées dans des dossiers %Temp% spécifiques, chacun servant un objectif distinct dans le cadre du processus d'exfiltration des données. Les captures d'écran prises par le logiciel malveillant sont stockées dans le dossier %temp%\VSTelems_Fade\NgenPdbc, tandis que les frappes enregistrées sont stockées dans %temp%\VSTelems_Fade\NgenPdbk. Le dossier %temp%\VSTelems_Fade\NgenPdbm est dédié au stockage des données obtenues via les écoutes téléphoniques du microphone. De plus, le dossier %temp%\VSTelems_FadeIn est utilisé pour collecter des données à partir de smartphones connectés, tandis que le dossier %temp%\VSTelems_FadeOut sert d'emplacement de stockage pour les données collectées à partir de périphériques multimédias amovibles. Ces dossiers spécifiques garantissent que les données collectées sont organisées et accessibles aux acteurs de la menace qui orchestrent la campagne de cyberespionnage.

Pour maintenir l'efficacité et faciliter le stockage des données, FadeStealer collecte les informations volées dans des fichiers d'archive RAR. Cela permet au logiciel malveillant de compresser et d'organiser les données volées, en veillant à ce qu'elles restent dissimulées et facilement transportables pour une exfiltration ultérieure par les acteurs de la menace.