Threat Database Malware M2RAT Malware

M2RAT Malware

APT37-trusselsgruppen er kendt for at bruge sofistikerede taktikker og teknikker til at udføre cyberspionageoperationer på vegne af den nordkoreanske regering. Denne gruppe er kendt under aliasserne 'RedEyes' eller 'ScarCruft'.

Gruppen APT37 er blevet observeret ved at bruge en ny undvigende malware kaldet 'M2RAT' til at målrette individer til efterretningsindsamling. Denne malware bruger steganografi, som er praksis med at skjule information i digitale billeder, for at undgå opdagelse af sikkerhedssoftware. APT37s brug af steganografi gør det sværere for sikkerhedsanalytikere at opdage og analysere deres malware, hvilket igen gør det mere udfordrende at forhindre eller afbøde deres angreb. Detaljer om M2RAT og dens truende kampagne blev offentliggjort i en rapport fra cybersikkerhedsforskerne ved AhnLab Security Emergency Response Center (ASEC).

M2RAT Malwares infektionskæde

Ifølge ASEC startede den truende APT37-kampagne i januar 2023, hvor hackerne lancerede en række cyberangreb, der brugte korrupte vedhæftede filer til at målrette ofre. Når de bevæbnede vedhæftede filer udføres, udnytter de en gammel EPS-sårbarhed (CVE-2017-8291), der findes i Hangul-tekstbehandleren, der er meget udbredt i Sydkorea. Udnyttelsen udløser en shellcode til at køre på offerets computer, som derefter downloader en dårlig eksekverbar fil, der er gemt i et JPEG-billede. Denne JPG-fil er modificeret af trusselsaktørerne ved hjælp af steganografi, hvilket gør det muligt for den eksekverbare M2RAT ('lskdjfei.exe') snigende at blive injiceret i 'explorer.exe'. For vedholdenhed på systemet tilføjer malwaren en ny værdi ('RyPO') til 'Run' registreringsnøglen, som udfører et PowerShell-script via 'cmd.exe'.

De truende egenskaber ved M2RAT Malware

M2RAT-malwaren fungerer som en fjernadgangstrojaner med flere skadelige funktioner, såsom keylogging, datatyveri, kommandoudførelse og optagelse af periodiske skærmbilleder. Den har evnen til at scanne efter bærbare enheder forbundet til en Windows-computer, såsom smartphones eller tablets, og den vil derefter kopiere alle dokumenter eller stemmeoptagelsesfiler, der findes på enheden, til den inficerede pc, så angriberne kan se dem.

Alle indsamlede data komprimeres til et password-beskyttet RAR-arkiv, før de eksfiltreres, og den lokale kopi af dataene slettes fra hukommelsen for at sikre, at der ikke er nogen spor tilbage. En interessant funktion ved M2RAT er, at den bruger en delt hukommelsessektion til kommunikation med dens Command-and-Control (C2, C&C) server, dataeksfiltrering og direkte overførsel af indsamlede data til C2-serveren, hvilket gør det sværere for sikkerheden. forskere til at analysere hukommelsen af inficerede enheder.

Ved at bruge disse funktioner gør M2RAT det nemmere for angribere at få adgang til og give kommandoer til det kompromitterede system, samt at samle data fra enheden. Dette gør det til en potent trussel, som alle brugere bør være opmærksomme på.

M2RAT Malware Video

Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.

Trending

Mest sete

Indlæser...