M2RAT البرامج الضارة

بواسطة Mezo في Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

ترجمة الى:

تُعرف مجموعة التهديد APT37 باستخدام تكتيكات وتقنيات متطورة لإجراء عمليات تجسس إلكتروني نيابة عن حكومة كوريا الشمالية. تُعرف هذه المجموعة بالأسماء المستعارة "RedEyes" أو "ScarCruft".

لوحظت مجموعة APT37 تستخدم برنامجًا ضارًا جديدًا مراوغًا يسمى "M2RAT" لاستهداف الأفراد لجمع المعلومات الاستخبارية. تستخدم هذه البرامج الضارة أسلوب إخفاء المعلومات ، وهو ممارسة إخفاء المعلومات داخل الصور الرقمية لتجنب اكتشافها بواسطة برامج الأمان. يجعل استخدام APT37 لأسلوب إخفاء المعلومات من الصعب على محللي الأمن اكتشاف وتحليل البرامج الضارة الخاصة بهم ، مما يجعل بدوره من الصعب منع هجماتهم أو التخفيف منها. تم نشر تفاصيل حول M2RAT وحملتها التهديدية في تقرير صادر عن باحثي الأمن السيبراني في مركز الاستجابة للطوارئ الأمنية AhnLab (ASEC).

جدول المحتويات

سلسلة عدوى البرامج الضارة M2RAT

وفقًا لـ ASEC ، بدأت حملة APT37 المهددة في يناير 2023 ، حيث أطلق المتسللون سلسلة من الهجمات الإلكترونية التي استخدمت مرفقات تالفة لاستهداف الضحايا. عند تنفيذ المرفقات المسلحة ، فإنها تستغل ثغرة EPS قديمة (CVE-2017-8291) موجودة في معالج الكلمات Hangul المستخدم على نطاق واسع في كوريا الجنوبية. يؤدي الاستغلال إلى تشغيل كود قشرة على كمبيوتر الضحية ، والذي يقوم بعد ذلك بتنزيل ملف تنفيذي سيء مخزن داخل صورة JPEG. تم تعديل ملف JPG هذا من قبل الجهات الفاعلة في التهديد باستخدام إخفاء المعلومات ، مما يسمح بحقن ملف M2RAT القابل للتنفيذ ('lskdjfei.exe') خلسة في 'explorer.exe'. للاستمرار في النظام ، تضيف البرامج الضارة قيمة جديدة ("RyPO") إلى مفتاح التسجيل "Run" ، والذي ينفذ برنامج PowerShell النصي عبر "cmd.exe".

القدرات المهددة للبرامج الضارة M2RAT

يعمل M2RAT Malware بمثابة حصان طروادة للوصول عن بُعد مع العديد من الميزات الضارة ، مثل تسجيل لوحة المفاتيح وسرقة البيانات وتنفيذ الأوامر والتقاط لقطات شاشة دورية. لديه القدرة على البحث عن الأجهزة المحمولة المتصلة بجهاز كمبيوتر يعمل بنظام Windows ، مثل الهواتف الذكية أو الأجهزة اللوحية ، وسيقوم بعد ذلك بنسخ أي مستندات أو ملفات تسجيل صوتي موجودة على الجهاز على جهاز الكمبيوتر المصاب ليقوم المهاجمون بمراجعتها.

يتم ضغط جميع البيانات التي تم جمعها في أرشيف RAR محمي بكلمة مرور قبل أن يتم تسريبها ، ويتم مسح النسخة المحلية من البيانات من الذاكرة لضمان عدم ترك أي آثار وراءها. ميزة مثيرة للاهتمام لـ M2RAT هي أنه يستخدم قسم ذاكرة مشتركة للتواصل مع خادم القيادة والتحكم (C2 ، C&C) ، واستخراج البيانات ، والنقل المباشر للبيانات المجمعة إلى خادم C2 ، مما يجعل الأمر أكثر صعوبة للأمان باحثين لتحليل ذاكرة الأجهزة المصابة.

من خلال استخدام هذه الميزات ، يسهل M2RAT على المهاجمين الوصول وإعطاء الأوامر للنظام المخترق ، بالإضافة إلى تجميع البيانات من الجهاز. هذا يجعله تهديدًا قويًا يجب أن يكون جميع المستخدمين على دراية به.