M2RAT Зловреден софтуер

До Mezo през Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealersг

Превод на:

Групата за заплахи APT37 е известна с използването на сложни тактики и техники за провеждане на операции за кибер шпионаж от името на севернокорейското правителство. Тази група е известна с псевдонимите „RedEyes“ или „ScarCruft“.

Групата APT37 е била наблюдавана, използвайки нов укриващ злонамерен софтуер, наречен „M2RAT“, за насочване към лица за събиране на разузнавателна информация. Този злонамерен софтуер използва стеганография, която е практика за скриване на информация в рамките на цифрови изображения, за да се избегне откриване от софтуер за сигурност. Използването на стеганография от APT37 прави по-трудно за анализаторите по сигурността да откриват и анализират техния зловреден софтуер, което от своя страна прави по-трудно предотвратяването или смекчаването на техните атаки. Подробности за M2RAT и неговата заплашителна кампания бяха публикувани в доклад на изследователите по киберсигурност в AhnLab Security Emergency Response Center (ASEC).

Съдържание

Верига за заразяване на зловреден софтуер M2RAT

Според ASEC заплашителната кампания APT37 е започнала през януари 2023 г., като хакерите са стартирали серия от кибератаки, които са използвали повредени прикачени файлове, за да се насочат към жертвите. Когато оръжейните прикачени файлове се изпълняват, те използват стара EPS уязвимост (CVE-2017-8291), открита в текстообработващата програма Hangul, широко използвана в Южна Корея. Експлойтът задейства шелкод за изпълнение на компютъра на жертвата, който след това изтегля лош изпълним файл, съхранен в JPEG изображение. Този JPG файл е модифициран от участниците в заплахата с помощта на стеганография, което позволява на изпълнимия файл на M2RAT („lskdjfei.exe“) да бъде скрито инжектиран в „explorer.exe“. За постоянство в системата злонамереният софтуер добавя нова стойност („RyPO“) към ключа на системния регистър „Run“, който изпълнява скрипт на PowerShell чрез „cmd.exe“.

Заплашващите възможности на зловреден софтуер M2RAT

Зловредният софтуер M2RAT действа като троянски кон за отдалечен достъп с множество вредни функции, като записване на клавиатури, кражба на данни, изпълнение на команди и правене на периодични екранни снимки. Той има способността да сканира за преносими устройства, свързани към компютър с Windows, като смартфони или таблети, и след това ще копира всички документи или файлове със запис на глас, намерени на устройството, на заразения компютър, за да могат нападателите да ги прегледат.

Всички събрани данни се компресират в RAR архив, защитен с парола, преди да бъдат ексфилтрирани, а локалното копие на данните се изтрива от паметта, за да се гарантира, че няма оставени следи. Интересна характеристика на M2RAT е, че той използва раздел със споделена памет за комуникация със своя сървър за командване и управление (C2, C&C), ексфилтрация на данни и директно прехвърляне на събраните данни към сървъра C2, което затруднява сигурността изследователи да анализират паметта на заразените устройства.

Използвайки тези функции, M2RAT улеснява нападателите да получат достъп и да дават команди на компрометираната система, както и да събират данни от устройството. Това го прави мощна заплаха, за която всички потребители трябва да знаят.