بدافزار M2RAT

تا Mezo در Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

ترجمه به:

گروه تهدید APT37 به دلیل استفاده از تاکتیک ها و تکنیک های پیچیده برای انجام عملیات جاسوسی سایبری به نمایندگی از دولت کره شمالی شناخته شده است. این گروه با نام مستعار "RedEyes" یا "ScarCruft" شناخته می شود.

گروه APT37 با استفاده از بدافزار جدید فراری به نام "M2RAT" برای هدف قرار دادن افراد برای جمع آوری اطلاعات مشاهده شده است. این بدافزار از استگانوگرافی استفاده می‌کند، که عمل پنهان کردن اطلاعات در تصاویر دیجیتالی است تا از شناسایی توسط نرم‌افزارهای امنیتی جلوگیری کند. استفاده APT37 از استگانوگرافی، شناسایی و تجزیه و تحلیل بدافزارهای خود را برای تحلیلگران امنیتی دشوارتر می کند، که به نوبه خود جلوگیری یا کاهش حملات آنها را چالش برانگیزتر می کند. جزئیات مربوط به M2RAT و کمپین تهدیدآمیز آن در گزارشی توسط محققان امنیت سایبری در مرکز پاسخگویی اضطراری امنیتی AhnLab (ASEC) منتشر شد.

فهرست مطالب

زنجیره عفونت بدافزار M2RAT

به گفته ASEC، کمپین تهدید آمیز APT37 در ژانویه 2023 آغاز شد و هکرها مجموعه ای از حملات سایبری را انجام دادند که از پیوست های خراب برای هدف قرار دادن قربانیان استفاده می کردند. هنگامی که پیوست‌های تسلیح‌شده اجرا می‌شوند، از آسیب‌پذیری EPS قدیمی (CVE-2017-8291) که در واژه‌پرداز Hangul به طور گسترده در کره جنوبی استفاده می‌شود، استفاده می‌کنند. این اکسپلویت یک کد پوسته را برای اجرا در رایانه قربانی فعال می کند، که سپس یک فایل اجرایی بد ذخیره شده در یک تصویر JPEG را دانلود می کند. این فایل JPG توسط عوامل تهدید با استفاده از steganography اصلاح شده است و به فایل اجرایی M2RAT ('lskdjfei.exe') اجازه می دهد مخفیانه به 'explorer.exe' تزریق شود. برای تداوم در سیستم، بدافزار یک مقدار جدید ("RyPO") به کلید "Run" Registry اضافه می کند که یک اسکریپت PowerShell را از طریق "cmd.exe" اجرا می کند.

قابلیت های تهدید آمیز بدافزار M2RAT

بدافزار M2RAT به عنوان یک تروجان دسترسی از راه دور با چندین ویژگی مضر مانند keylogging، سرقت اطلاعات، اجرای فرمان و گرفتن اسکرین شات های دوره ای عمل می کند. این قابلیت را دارد که دستگاه‌های قابل حمل متصل به رایانه ویندوزی مانند تلفن‌های هوشمند یا تبلت‌ها را اسکن کند و سپس اسناد یا فایل‌های ضبط صدای موجود در دستگاه را روی رایانه شخصی آلوده کپی می‌کند تا مهاجمان بررسی کنند.

تمام داده‌های جمع‌آوری‌شده قبل از استخراج در یک بایگانی RAR محافظت شده با رمز عبور فشرده می‌شوند و کپی محلی داده‌ها از حافظه پاک می‌شود تا اطمینان حاصل شود که هیچ اثری از آن باقی نمانده است. یکی از ویژگی های جالب M2RAT این است که از یک بخش حافظه مشترک برای ارتباط با سرور Command-and-Control (C2, C&C)، استخراج داده ها و انتقال مستقیم داده های جمع آوری شده به سرور C2 استفاده می کند که امنیت را دشوارتر می کند. محققان برای تجزیه و تحلیل حافظه دستگاه های آلوده.

با استفاده از این ویژگی‌ها، M2RAT دسترسی مهاجمان و دادن دستورات به سیستم در معرض خطر و همچنین جمع‌آوری داده‌ها از دستگاه را آسان‌تر می‌کند. این آن را به یک تهدید قوی تبدیل می کند که همه کاربران باید از آن آگاه باشند.