Programari maliciós M2RAT

El Mezo el Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Traduir a:

El grup d'amenaça APT37 és conegut per utilitzar tàctiques i tècniques sofisticades per dur a terme operacions d'espionatge cibernètic en nom del govern de Corea del Nord. Aquest grup es coneix amb els àlies "RedEyes" o "ScarCruft".

S'ha observat que el grup APT37 utilitza un nou programari maliciós evasiu anomenat "M2RAT" per apuntar a individus per a la recollida d'intel·ligència. Aquest programari maliciós utilitza esteganografia, que és la pràctica d'amagar informació dins d'imatges digitals, per evitar la detecció del programari de seguretat. L'ús de l'esteganografia per part d'APT37 dificulta que els analistes de seguretat detectin i analitzin el seu programari maliciós, cosa que fa que sigui més difícil prevenir o mitigar els seus atacs. Els detalls sobre M2RAT i la seva campanya amenaçadora es van publicar en un informe dels investigadors de ciberseguretat del Centre de resposta a emergències de seguretat d'AhnLab (ASEC).

Taula de continguts

Cadena d'infecció de programari maliciós M2RAT

Segons ASEC, l'amenaça campanya APT37 va començar el gener de 2023, amb els pirates informàtics llançant una sèrie d'atacs cibernètics que utilitzaven fitxers adjunts corruptes per apuntar a les víctimes. Quan s'executen els fitxers adjunts armats, exploten una antiga vulnerabilitat EPS (CVE-2017-8291) que es troba al processador de textos Hangul molt utilitzat a Corea del Sud. L'explotació activa un codi de comandament per executar-se a l'ordinador de la víctima, que després baixa un executable incorrecte emmagatzemat dins d'una imatge JPEG. Els actors de l'amenaça modifiquen aquest fitxer JPG mitjançant esteganografia, la qual cosa permet que l'executable M2RAT ('lskdjfei.exe') s'injecti de manera sigilosa a 'explorer.exe'. Per a la persistència al sistema, el programari maliciós afegeix un valor nou ("RyPO") a la clau del registre "Executar", que executa un script de PowerShell mitjançant "cmd.exe".

Les capacitats amenaçadores del programari maliciós M2RAT

El programari maliciós M2RAT actua com un troià d'accés remot amb múltiples funcions perjudicials, com ara el registre de tecles, el robatori de dades, l'execució d'ordres i la presa de captures de pantalla periòdiques. Té la capacitat d'escanejar dispositius portàtils connectats a un ordinador Windows, com ara telèfons intel·ligents o tauletes, i després copiarà qualsevol document o fitxer de gravació de veu que es trobi al dispositiu a l'ordinador infectat perquè els atacants els revisin.

Totes les dades recollides es comprimeixen en un arxiu RAR protegit amb contrasenya abans de ser exfiltrades, i la còpia local de les dades s'esborra de la memòria per assegurar-se que no queden rastres. Una característica interessant de M2RAT és que utilitza una secció de memòria compartida per a la comunicació amb el seu servidor Command-and-Control (C2, C&C), l'exfiltració de dades i la transferència directa de les dades recollides al servidor C2, cosa que dificulta la seguretat. investigadors per analitzar la memòria dels dispositius infectats.

Mitjançant l'ús d'aquestes funcions, M2RAT facilita que els atacants puguin accedir i donar ordres al sistema compromès, així com reunir dades del dispositiu. Això fa que sigui una amenaça potent que tots els usuaris haurien de ser conscients.