Северокорейская хакерская группа APT37 использует новое вредоносное ПО FadeStealer для кражи информации и прослушивания телефонных разговоров.
APT37 (также известная как StarCruft, Reaper или RedEyes) считается спонсируемой государством хакерской группой с долгой историей проведения кибершпионских атак, связанных с интересами Северной Кореи. Атаки группы нацелены на перебежчиков из Северной Кореи, образовательные учреждения и организации, базирующиеся в ЕС.
В новом отчете Центра экстренного реагирования на угрозы безопасности AhnLab Security (ASEC) исследователи рассказали о новых бэкдорах “AblyGo” и “FadeStealer”, которые злоумышленники используют в кибершпионских атаках.
Цепочка атаки APT37
Предполагается, что вредоносная программа доставляется с помощью фишинговых писем с вложенными архивами, содержащими защищенные паролем документы Word и Hangul Word Processor (файлы .docx и .hwp) и CHM-файл Windows “password.chm”.
ASEC полагает, что фишинговые электронные письма предписывают получателю открыть CHM-файл, чтобы получить пароль для документов. Открытие CHM-файла запускает процесс заражения на устройстве Windows.
Вредоносное ПО используется для развертывания бэкдора на базе ” data-html=”true” data-original-title=”Golang” >GoLang под названием ” AblyGo “, предназначенного для повышения привилегий, кражи данных и доставки дополнительных вредоносных программ на устройство. AblyGo backdoor использует платформу Ably Platform, службу API, которая позволяет разработчикам развертывать функции и доставку информации в реальном времени в своих приложениях.
Злоумышленники используют ABLY в качестве сервера управления и контроля для отправки команд бэкдору, а затем для эксфильтрации данных. Поскольку Ably легитимная платформа, киберпреступники, вероятно, используют ее для уклонения от средств мониторинга сети и ПО безопасности.
FadeStealer прослушивает устройство
В конечном счете, бэкдоры развертывают последнюю полезную нагрузку в виде инфостилера “FadeStealer”. Вредоносное ПО крадёт следующую информацию:
- снимки экрана;
- нажатия клавиш;
- файлы, собранные с подключенных смартфонов и съемных устройств;
- запись звука с подключенного микрофона (что позволяет хакерам прослушивать разговоры жертвы).
Затем злоумышленники могут проанализировать собранные данные, чтобы украсть конфиденциальную информацию для использования правительством Северной Кореи или проведения дальнейших атак.
Недавно стало известно , что группировка APT37 использует новое уклончивое вредоносное ПО M2RAT и стеганографию для сбора разведданных. Кроме того, недавно исследователи безопасности из ИБ-компании Check Point обнаружили , что APT37 использует LNK-файлы для доставки RAT-трояна RokRAT с июля 2022 года.