M2RAT pahavara
Ohurühmitus APT37 on tuntud selle poolest, et kasutab Põhja-Korea valitsuse nimel küberspionaažioperatsioone läbi viimaks keerukaid taktikaid ja tehnikaid. Seda rühma tuntakse varjunimede "RedEyes" või "ScarCruft" all.
On täheldatud, et rühmitus APT37 kasutab uut vältivat pahavara nimega M2RAT, et sihtida üksikisikuid luureandmete kogumiseks. See pahavara kasutab steganograafiat, mis peitub teabe digitaalsetes piltides, et vältida turvatarkvara tuvastamist. APT37 steganograafia kasutamine muudab turbeanalüütikute jaoks oma pahavara tuvastamise ja analüüsimise keerulisemaks, mis omakorda muudab rünnakute ennetamise või leevendamise keerulisemaks. Üksikasjad M2RATi ja selle ähvardava kampaania kohta avaldati AhnLabi turvahädaabikeskuse (ASEC) küberjulgeolekuteadlaste aruandes.
Sisukord
M2RAT pahavara nakkusahel
ASECi andmetel sai ähvardav APT37 kampaania alguse 2023. aasta jaanuaris, kui häkkerid käivitasid rea küberrünnakuid, mis kasutasid ohvrite sihtimiseks rikutud manuseid. Kui relvastatud manused käivitatakse, kasutavad need ära vana EPS-i haavatavust (CVE-2017-8291), mis leiti Lõuna-Koreas laialdaselt kasutatavas Hanguli tekstitöötlusprogrammis. Ärakasutamine käivitab shellkoodi, mis käivitub ohvri arvutis, mis seejärel laadib alla JPEG-pildi sisse salvestatud halva käivitatava faili. Seda JPG-faili muudavad ohus osalejad steganograafia abil, võimaldades M2RAT-i käivitatava faili (lskdjfei.exe) vargsi sisestada faili explorer.exe. Süsteemis püsimiseks lisab pahavara registrivõtmele „Run” uue väärtuse (RyPO), mis käivitab PowerShelli skripti faili „cmd.exe” kaudu.
M2RAT pahavara ohustavad võimalused
M2RAT pahavara toimib kaugjuurdepääsu troojana, millel on mitu kahjulikku funktsiooni, nagu klahvilogimine, andmete vargus, käskude täitmine ja perioodiliste ekraanipiltide tegemine. Sellel on võimalus otsida Windowsi arvutiga ühendatud kaasaskantavaid seadmeid, nagu nutitelefonid või tahvelarvutid, ja seejärel kopeerida kõik seadmest leitud dokumendid või helisalvestusfailid nakatunud arvutisse, et ründajad saaksid need üle vaadata.
Kõik kogutud andmed tihendatakse enne väljafiltreerimist parooliga kaitstud RAR-arhiivi ja andmete kohalik koopia pühitakse mälust tagamaks, et jälgi ei jääks. M2RAT-i huvitav omadus on see, et see kasutab ühismälu sektsiooni oma Command-and-Control (C2, C&C) serveriga suhtlemiseks, andmete eksfiltreerimiseks ja kogutud andmete otseseks edastamiseks C2 serverisse, muutes selle turvalisuse raskemaks. uurijad analüüsivad nakatunud seadmete mälu.
Neid funktsioone kasutades hõlbustab M2RAT ründajatel juurdepääsu ohustatud süsteemile ja käskude andmist ning andmete kogumist seadmest. See muudab selle tugevaks ohuks, millest kõik kasutajad peaksid teadlikud olema.
M2RAT pahavara Video
Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .
