Κακόβουλο λογισμικό M2RAT

Μέχρι το Mezo το Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Μετάφραση σε:

Η ομάδα απειλών APT37 είναι γνωστή για τη χρήση εξελιγμένων τακτικών και τεχνικών για τη διεξαγωγή επιχειρήσεων κατασκοπείας στον κυβερνοχώρο για λογαριασμό της κυβέρνησης της Βόρειας Κορέας. Αυτή η ομάδα είναι γνωστή με τα ψευδώνυμα «RedEyes» ή «ScarCruft».

Η ομάδα APT37 έχει παρατηρηθεί να χρησιμοποιεί ένα νέο κακόβουλο λογισμικό αποφυγής που ονομάζεται «M2RAT» για να στοχεύει άτομα για συλλογή πληροφοριών. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί steganography, που είναι η πρακτική της απόκρυψης πληροφοριών μέσα σε ψηφιακές εικόνες, για να αποφευχθεί ο εντοπισμός από λογισμικό ασφαλείας. Η χρήση της στεγανογραφίας από το APT37 καθιστά πιο δύσκολο για τους αναλυτές ασφαλείας να εντοπίσουν και να αναλύσουν το κακόβουλο λογισμικό τους, γεγονός που με τη σειρά του καθιστά πιο δύσκολη την πρόληψη ή τον μετριασμό των επιθέσεών τους. Λεπτομέρειες για το M2RAT και την απειλητική του εκστρατεία δημοσιεύθηκαν σε μια έκθεση από τους ερευνητές κυβερνοασφάλειας στο Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης Ασφαλείας AhnLab (ASEC).

Πίνακας περιεχομένων

M2RAT Malware's Infection Chain

Σύμφωνα με την ASEC, η απειλητική εκστρατεία APT37 ξεκίνησε τον Ιανουάριο του 2023, με τους χάκερ να εξαπολύουν μια σειρά από επιθέσεις στον κυβερνοχώρο που χρησιμοποιούσαν κατεστραμμένα συνημμένα για να στοχεύσουν θύματα. Όταν εκτελούνται τα οπλισμένα συνημμένα, εκμεταλλεύονται μια παλιά ευπάθεια EPS (CVE-2017-8291) που βρίσκεται στον επεξεργαστή κειμένου Hangul που χρησιμοποιείται ευρέως στη Νότια Κορέα. Το exploit ενεργοποιεί έναν shellcode για να εκτελεστεί στον υπολογιστή του θύματος, ο οποίος στη συνέχεια κατεβάζει ένα κακό εκτελέσιμο αρχείο που είναι αποθηκευμένο μέσα σε μια εικόνα JPEG. Αυτό το αρχείο JPG τροποποιείται από τους παράγοντες απειλών που χρησιμοποιούν steganography, επιτρέποντας στο εκτελέσιμο αρχείο M2RAT ('lskdjfei.exe') να εισαχθεί κρυφά στο 'explorer.exe.' Για παραμονή στο σύστημα, το κακόβουλο λογισμικό προσθέτει μια νέα τιμή («RyPO») στο κλειδί μητρώου «Εκτέλεση», το οποίο εκτελεί ένα σενάριο PowerShell μέσω του «cmd.exe».

Οι Απειλητικές Δυνατότητες του Κακόβουλου Λογισμικού M2RAT

Το κακόβουλο λογισμικό M2RAT λειτουργεί ως Trojan Remote Access με πολλαπλά επιβλαβή χαρακτηριστικά, όπως καταγραφή πληκτρολογίου, κλοπή δεδομένων, εκτέλεση εντολών και λήψη περιοδικών στιγμιότυπων οθόνης. Έχει τη δυνατότητα να κάνει σάρωση για φορητές συσκευές που είναι συνδεδεμένες σε υπολογιστή Windows, όπως smartphone ή tablet, και στη συνέχεια θα αντιγράψει τυχόν έγγραφα ή αρχεία εγγραφής φωνής που βρίσκονται στη συσκευή στον μολυσμένο υπολογιστή για να τα ελέγξουν οι εισβολείς.

Όλα τα δεδομένα που συλλέγονται συμπιέζονται σε ένα αρχείο RAR που προστατεύεται με κωδικό πρόσβασης πριν από την εξαγωγή τους και το τοπικό αντίγραφο των δεδομένων διαγράφεται από τη μνήμη για να διασφαλιστεί ότι δεν υπάρχουν ίχνη πίσω. Ένα ενδιαφέρον χαρακτηριστικό του M2RAT είναι ότι χρησιμοποιεί ένα τμήμα κοινόχρηστης μνήμης για επικοινωνία με τον διακομιστή Command-and-Control (C2, C&C), την εξαγωγή δεδομένων και την άμεση μεταφορά των συλλεγόμενων δεδομένων στον διακομιστή C2, καθιστώντας πιο δύσκολη την ασφάλεια. ερευνητές για να αναλύσουν τη μνήμη μολυσμένων συσκευών.

Χρησιμοποιώντας αυτές τις δυνατότητες, το M2RAT διευκολύνει τους εισβολείς να αποκτήσουν πρόσβαση και να δώσουν εντολές στο παραβιασμένο σύστημα, καθώς και να συγκεντρώσουν δεδομένα από τη συσκευή. Αυτό το καθιστά μια ισχυρή απειλή που πρέπει να γνωρίζουν όλοι οι χρήστες.