M2RAT-haittaohjelma
APT37-uhkaryhmä tunnetaan siitä, että se käyttää kehittyneitä taktiikoita ja tekniikoita kybervakoiluoperaatioiden suorittamiseen Pohjois-Korean hallituksen puolesta. Tämä ryhmä tunnetaan aliaksilla "RedEyes" tai "ScarCruft".
Ryhmän APT37 on havaittu käyttävän uutta M2RAT-nimistä haittaohjelmaa kohdistaakseen henkilöitä tiedustelutietojen keräämiseen. Tämä haittaohjelma käyttää steganografiaa, joka on käytäntö piilottaa tiedot digitaalisiin kuviin, jotta tietoturvaohjelmisto ei havaitse niitä. APT37:n steganografian käyttö tekee tietoturva-analyytikoille vaikeampaa havaita ja analysoida haittaohjelmiaan, mikä puolestaan tekee hyökkäysten estämisestä tai lieventämisestä haastavampaa. Yksityiskohdat M2RATista ja sen uhkaavasta kampanjasta julkaistiin AhnLab Security Emergency Response Centerin (ASEC) kyberturvallisuuden tutkijoiden raportissa.
Sisällysluettelo
M2RAT-haittaohjelmien infektioketju
ASEC:n mukaan uhkaava APT37-kampanja alkoi tammikuussa 2023, jolloin hakkerit aloittivat joukon kyberhyökkäyksiä, joissa uhreihin kohdistettiin korruptoituneita liitteitä. Kun asetetut liitteet suoritetaan, ne hyödyntävät vanhaa EPS-haavoittuvuutta (CVE-2017-8291), joka löytyy Etelä-Koreassa laajalti käytetystä Hangul-tekstinkäsittelyohjelmasta. Hyödyntäminen laukaisee shell-koodin, joka suoritetaan uhrin tietokoneella, joka lataa sitten JPEG-kuvaan tallennetun huonon suoritettavan tiedoston. Uhkatoimijat muokkaavat tätä JPG-tiedostoa käyttämällä steganografiaa, jolloin M2RAT-suoritettava tiedosto ('lskdjfei.exe') voidaan ruiskuttaa salaa 'explorer.exe'-tiedostoon. Järjestelmän pysyvyyden vuoksi haittaohjelma lisää uuden arvon ("RyPO") "Run"-rekisteriavaimeen, joka suorittaa PowerShell-komentosarjan cmd.exe-tiedoston kautta.
M2RAT-haittaohjelman uhkaavat ominaisuudet
M2RAT-haittaohjelma toimii etäkäyttötroijalaisena, jolla on useita haitallisia ominaisuuksia, kuten näppäinloki, datavarkaus, komentojen suorittaminen ja säännöllisten kuvakaappausten ottaminen. Sillä on kyky skannata Windows-tietokoneeseen kytkettyjä kannettavia laitteita, kuten älypuhelimia tai tabletteja, ja kopioida sitten kaikki laitteelta löytyneet asiakirjat tai äänentallennustiedostot tartunnan saaneelle tietokoneelle hyökkääjien tarkastettavaksi.
Kaikki kerätyt tiedot pakataan salasanalla suojattuun RAR-arkistoon ennen suodattamista, ja paikallinen kopio tiedoista pyyhitään muistista, jotta varmistetaan, että jäljelle ei jää jälkiä. Mielenkiintoinen M2RAT:n ominaisuus on, että se käyttää jaettua muistiosaa viestintään Command-and-Control (C2, C&C) palvelimensa kanssa, tietojen suodattamiseen ja kerättyjen tietojen siirtämiseen suoraan C2-palvelimelle, mikä vaikeuttaa turvallisuutta. tutkijat analysoivat tartunnan saaneiden laitteiden muistia.
Näitä ominaisuuksia hyödyntämällä M2RAT helpottaa hyökkääjien pääsyä ja komentojen antamista vaarantuneeseen järjestelmään sekä tietojen keräämistä laitteesta. Tämä tekee siitä voimakkaan uhan, joka kaikkien käyttäjien tulee olla tietoisia.
M2RAT-haittaohjelma Video
Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .
