Malware M2RAT
Skupina hrozeb APT37 je známá používáním sofistikovaných taktik a technik k provádění kybernetických špionážních operací jménem severokorejské vlády. Tato skupina je známá pod aliasy 'RedEyes' nebo 'ScarCruft.'
Skupina APT37 byla pozorována pomocí nového vyhýbavého malwaru nazvaného „M2RAT“ k cílení na jednotlivce za účelem shromažďování zpravodajských informací. Tento malware využívá steganografii, což je praktika skrývání informací v digitálních obrázcích, aby se zabránilo detekci bezpečnostním softwarem. Použití steganografie v APT37 ztěžuje bezpečnostním analytikům detekci a analýzu jejich malwaru, což zase ztěžuje prevenci nebo zmírnění jejich útoků. Podrobnosti o M2RAT a jeho hrozivé kampani byly zveřejněny ve zprávě výzkumníků kybernetické bezpečnosti z AhnLab Security Emergency Response Center (ASEC).
Obsah
Infekční řetězec malwaru M2RAT
Podle ASEC začala hrozivá kampaň APT37 v lednu 2023, kdy hackeři zahájili sérii kybernetických útoků, které využívaly poškozené přílohy k cílení na oběti. Když jsou zbraňové přílohy provedeny, využívají starou zranitelnost EPS (CVE-2017-8291), která se nachází v textovém procesoru Hangul široce používaném v Jižní Koreji. Exploit spustí shell kód, který se spustí na počítači oběti, která pak stáhne špatný spustitelný soubor uložený v obrázku JPEG. Tento soubor JPG je upraven aktéry hrozeb pomocí steganografie, což umožňuje, aby byl spustitelný soubor M2RAT ('lskdjfei.exe') tajně vložen do 'explorer.exe'. Aby malware přetrvával v systému, přidá do klíče registru „Spustit“ novou hodnotu („RyPO“), která spustí skript PowerShell prostřednictvím „cmd.exe“.
Hrozivé schopnosti malwaru M2RAT
Malware M2RAT funguje jako trojan pro vzdálený přístup s mnoha škodlivými funkcemi, jako je keylogging, krádež dat, provádění příkazů a pořizování pravidelných snímků obrazovky. Má schopnost vyhledávat přenosná zařízení připojená k počítači se systémem Windows, jako jsou chytré telefony nebo tablety, a poté zkopírovat všechny dokumenty nebo soubory hlasových záznamů nalezené v zařízení do infikovaného počítače, aby je mohli útočníci zkontrolovat.
Všechna shromážděná data jsou před exfiltrací komprimována do archivu RAR chráněného heslem a místní kopie dat je vymazána z paměti, aby se zajistilo, že po nich nezůstanou žádné stopy. Zajímavou funkcí M2RAT je, že používá sdílenou paměťovou sekci pro komunikaci se svým Command-and-Control (C2, C&C) serverem, exfiltraci dat a přímý přenos shromážděných dat na server C2, což ztěžuje zabezpečení. výzkumníci analyzovat paměť infikovaných zařízení.
Využitím těchto funkcí M2RAT usnadňuje útočníkům získat přístup a udělovat příkazy kompromitovanému systému a také shromažďovat data ze zařízení. To z něj dělá silnou hrozbu, které by si měli být vědomi všichni uživatelé.
Malware M2RAT Video
Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.
