フェードスティーラー

StarCruft、Reaper、または RedEyes とも呼ばれるハッカー グループ APT37 は、FadeStealer と呼ばれる新たに発見された情報窃取マルウェアを使用していることが最近観察されました。この高度なマルウェアには「盗聴」機能が組み込まれており、攻撃者が被害者のマイクからの音声を密かに傍受して録音できるようになります。

APT37 は、北朝鮮の利益に沿ったサイバースパイ活動を実施してきた多大な実績を持つ国家支援のハッカーグループであると広く考えられています。彼らの標的には、脱北者、教育機関、欧州連合に拠点を置く組織などが含まれている。

以前のキャンペーンでは、このグループは「Dolphin」や「 M2RAT 」などのカスタムメイドのマルウェアを使用してサイバー攻撃を実行しました。これらの脅威ツールは、接続された携帯電話などの Windows デバイスに侵入し、コマンドの実行、データの盗難、資格情報の収集、スクリーンショットのキャプチャなどのさまざまな悪意のあるアクティビティを促進するように特別に設計されています。

カスタム バックドア マルウェアが FadeStealer 脅威をもたらす

セキュリティ研究者は最近、AblyGo バックドアとして知られる、APT37 による攻撃に使用される別のカスタム マルウェアの詳細を明らかにしました。 FadeStealer と同様に、これらの望ましくないツールは、標的のシステムに侵入し、さまざまな有害な活動を促進するように設計されています。

このマルウェアの最初の配信方法には、アーカイブが添付されたフィッシングメールが含まれます。これらのアーカイブは、パスワードで保護された Word およびハングル ワード プロセッサ文書 (.docx および .hwp ファイル) と、「password.chm」Windows CHM ファイルで構成されます。フィッシングメールは、受信者に CHM ファイルを開いてドキュメントのロックを解除するために必要なパスワードを取得するよう指示している可能性が高くなります。ただし、被害者は気づかないうちに、このアクションにより Windows デバイス上で感染プロセスが引き起こされます。

CHM ファイルを開くと、文書のロックを解除するためのパスワードが要求されるという欺瞞的なプロンプトが表示されます。同時に、このファイルは、高度な機能を備えたバックドアとして機能するリモート PowerShell スクリプトを慎重にダウンロードして実行します。この PowerShell バックドアは、攻撃者のコマンドアンドコントロール (C2) サーバーとの通信を確立し、攻撃者が侵害されたシステム上でコマンドをリモートから実行できるようにします。

さらに、このバックドアは、攻撃の後半段階で「AblyGo バックドア」として知られる追加のバックドアの展開を容易にします。この新しいバックドアは、開発者がリアルタイム機能と情報配信をアプリケーションに組み込むために利用する API サービスである Ably プラットフォームを活用しています。 Ably プラットフォームを C2 プラットフォームとして利用することで、攻撃者は、base64 でエンコードされたコマンドをバックドアに送信して実行し、出力を受け取ることができます。このアプローチにより、正規のネットワーク トラフィック内の悪意のあるアクティビティを難読化できるため、その操作の検出と監視がより困難になります。

「AblyGo バックドア」はサイバースパイ活動において重要な役割を果たしており、攻撃者が権限昇格を実行し、機密データを抽出し、追加のマルウェアコンポーネントを配信できるようにします。脅威アクターは、Ably のような正規のプラットフォームを利用することで、ネットワーク監視やセキュリティ ソフトウェアを回避し、攻撃の有効性を高めることを目指しています。

FadeStealer 脅威に見られる脅威的な機能

バックドアは最終的に、FadeStealer を最終ペイロードとして配信します。この脅威は、Windows デバイス専用に設計された非常に強力な情報窃取マルウェアです。 FadeStealer は、インストールされると、DLL サイドローディングと呼ばれる手法を使用して、Internet Explorer の正規の ieinstall.exe プロセスに自身を挿入し、その存在を効果的に偽装します。

FadeStealer はバックグラウンドで密かに動作し、侵害されたデバイスから広範囲の機密情報を慎重に収集します。このマルウェアは、30 分ごとの定期的な間隔で、被害者の画面のスクリーンショットをキャプチャし、ログに記録されたキーストロークを記録し、接続されているスマートフォンやリムーバブル デバイスからファイルを収集します。さらに、FadeStealer はデバイスのマイクを通じて音声を録音する機能を備えているため、攻撃の背後にいる攻撃者が会話を盗聴し、追加の情報を収集できるようになります。

収集されたデータは特定の %Temp% フォルダーに保存され、それぞれがデータ抽出プロセス内で明確な目的を果たします。マルウェアによって取得されたスクリーンショットは %temp%\VSTelems_Fade\NgenPdbc フォルダーに保存され、ログに記録されたキーストロークは %temp%\VSTelems_Fade\NgenPdbk に保存されます。 %temp%\VSTelems_Fade\NgenPdbm フォルダーは、マイク盗聴によって取得されたデータの保存専用です。さらに、%temp%\VSTelems_FadeIn フォルダーは接続されたスマートフォンからデータを収集するために利用され、%temp%\VSTelems_FadeOut フォルダーはリムーバブル メディア デバイスから収集されたデータの保存場所として機能します。これらの特定のフォルダーにより、収集されたデータが整理され、サイバースパイ活動を指揮する攻撃者がアクセスできるようになります。

効率を維持し、データの保存を容易にするために、FadeStealer は盗難された情報を RAR アーカイブ ファイルに収集します。これにより、マルウェアは窃取したデータを圧縮して整理できるようになり、データは確実に隠蔽されたままとなり、その後の脅威アクターによる流出に備えて簡単に持ち運ぶことができます。