Le groupe de piratage nord-coréen APT37 utilise un nouveau logiciel malveillant de vol d’informations « FadeStealer » contenant une fonction d' »écoute électronique », permettant à l’auteur de la menace d’espionner et d’enregistrer à partir des microphones des victimes.
APT37, également connu sous le nom de StarCruft, Reaper ou RedEyes, est considéré comme un groupe de piratage parrainé par l’État avec une longue histoire d’attaques de cyberespionnage alignées sur les intérêts nord-coréens. Ces attaques visent des transfuges nord-coréens, des établissements d’enseignement et des organisations basées dans l’UE.
Dans le passé, les pirates étaient connus pour utiliser des logiciels malveillants personnalisés appelés « Dolphin » et « M2RAT » pour exécuter des commandes et voler des données, des informations d’identification et des captures d’écran à partir d’appareils Windows et même de téléphones mobiles connectés.
Cela commence par un fichier CHM
Dans un nouveau rapport de l’AhnLab Security Emergency Response Center (ASEC), les chercheurs fournissent des informations sur de nouveaux logiciels malveillants personnalisés appelés « AblyGo backdoor » et « FadeStealer » que les acteurs de la menace utilisent dans les attaques de cyberespionnage.
On pense que le logiciel malveillant est transmis à l’aide d’e-mails de phishing avec des archives jointes contenant des documents Word et Hangul Word protégés par mot de passe (fichiers .docx et .hwp) et un fichier Windows CHM « password.chm ».
L’ASEC pense que les e-mails de phishing demandent au destinataire d’ouvrir le fichier CHM pour obtenir le mot de passe des documents, ce qui déclenche le processus d’infection sur l’appareil Windows.
Une fois le fichier CHM ouvert, il affiche le mot de passe présumé pour ouvrir le document, mais télécharge et exécute également discrètement un script PowerShell distant qui contient une fonctionnalité de porte dérobée et est enregistré pour démarrer automatiquement avec Windows.
Cette porte dérobée PowerShell communique avec les serveurs de commande et de contrôle des attaquants et exécute toutes les commandes envoyées par les attaquants.
La porte dérobée est utilisée pour déployer une porte dérobée GoLang supplémentaire utilisée dans les étapes ultérieures de l’attaque pour effectuer une escalade de privilèges, le vol de données et la diffusion d’autres logiciels malveillants.
Cette nouvelle porte dérobée s’appelle « AblyGo backdoor », car elle utilise la plate-forme Ably, un service API qui permet aux développeurs de déployer des fonctionnalités en temps réel et de fournir des informations dans leurs applications.
Les acteurs de la menace utilisent ABLY comme plate-forme de commande et de contrôle pour envoyer des commandes encodées en base64 à la porte dérobée pour exécuter puis recevoir toute sortie, où les acteurs de la menace la récupèrent plus tard.
Comme il s’agit d’une plate-forme légitime, elle est probablement utilisée par les acteurs de la menace pour échapper aux logiciels de surveillance et de sécurité du réseau.
L’ASEC a eu accès à la clé API Ably utilisée par la porte dérobée et a pu surveiller certaines des commandes émises par les attaquants. Ces commandes illustraient comment les pirates utilisaient la porte dérobée pour répertorier les fichiers dans un répertoire, renommer un faux fichier .jpg en un fichier .exe, puis l’exécuter.
Cependant, il est techniquement possible pour l’auteur de la menace d’envoyer toute commande qu’il souhaite exécuter.
FadeStealer écoute votre appareil
En fin de compte, les portes dérobées déploient une charge utile finale sous la forme de « FadeStealer », un malware voleur d’informations capable de voler une grande variété d’informations à partir d’appareils Windows.
Une fois installé, FadeStealer est injecté à l’aide du chargement latéral de DLL dans le processus légitime d’Internet Explorer « ieinstall.exe » et commence à voler des données de l’appareil et à les stocker dans des archives RAR toutes les 30 minutes.
Les données comprennent des captures d’écran, des frappes enregistrées, des fichiers collectés à partir de smartphones connectés et des périphériques amovibles. Le logiciel malveillant inclut également la possibilité d’enregistrer de l’audio à partir d’un microphone connecté, permettant aux acteurs de la menace d’écouter les conversations.
Ces données sont collectées dans les dossiers %Temp% suivants :
Les acteurs de la menace peuvent ensuite analyser ces données collectées pour voler des informations sensibles à l’usage du gouvernement nord-coréen ou mener d’autres attaques.
APT37 n’est pas le seul acteur nord-coréen à utiliser des fichiers CHM pour déployer des logiciels malveillants.
L’ASEC a également signalé aujourd’hui que le groupe de piratage parrainé par l’État de Kimsuky utilise des fichiers CHM dans des attaques de phishing pour déployer des scripts malveillants qui volent des informations sur les utilisateurs et installent des logiciels malveillants supplémentaires.
« Si vous examinez le flux d’attaque global dans ce cas, l’acteur de la menace a mené son attaque intelligemment et précisément en utilisant des e-mails de harponnage pour accéder aux systèmes cibles et en utilisant un canal Ably comme serveur de commande et de contrôle », a conclu le des chercheurs.
« Ce genre d’attaques est difficile à remarquer pour les individus. »