תוכנות זדוניות של M2RAT

עד Mezo ב-Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

לתרגם ל:

קבוצת האיומים APT37 ידועה בשימוש בטקטיקות ובטכניקות מתוחכמות לביצוע פעולות ריגול סייבר מטעם ממשלת צפון קוריאה. קבוצה זו ידועה בכינויים 'RedEyes' או 'ScarCruft'.

קבוצת APT37 נצפתה משתמשת בתוכנה זדונית מתחמקת חדשה בשם 'M2RAT' כדי למקד אנשים לאיסוף מודיעין. תוכנה זדונית זו משתמשת בסטגנוגרפיה, שהיא הנוהג של הסתרת מידע בתוך תמונות דיגיטליות, כדי למנוע זיהוי על ידי תוכנת אבטחה. השימוש של APT37 בסטגנוגרפיה מקשה על מנתחי אבטחה לזהות ולנתח את התוכנה הזדונית שלהם, מה שבתורו הופך את זה למאתגר יותר למנוע או להפחית את התקפותיהם. פרטים על M2RAT והקמפיין המאיים שלה פורסמו בדו"ח של חוקרי אבטחת הסייבר ב-AhnLab Security Emergency Response Center (ASEC).

תוכן העניינים

שרשרת הזיהום של M2RAT Malware

לפי ASEC, מסע הפרסום המאיים של APT37 החל בינואר 2023, כאשר ההאקרים פתחו בשורה של מתקפות סייבר שהשתמשו בקבצים מצורפים מושחתים למטרות קורבנות. כאשר הקבצים המצורפים המכילים נשק מבוצעים, הם מנצלים פגיעות EPS ישנה (CVE-2017-8291) שנמצאה במעבד התמלילים Hangul בשימוש נרחב בדרום קוריאה. הניצול מפעיל קוד מעטפת להפעלה במחשב של הקורבן, אשר מוריד לאחר מכן קובץ הפעלה גרוע המאוחסן בתוך תמונת JPEG. קובץ JPG זה משתנה על ידי גורמי האיום המשתמשים בסטגנוגרפיה, ומאפשר להחדיר את קובץ ההפעלה של M2RAT ('lskdjfei.exe') בגניבה לתוך 'explorer.exe'. לצורך התמדה במערכת, התוכנה הזדונית מוסיפה ערך חדש ('RyPO') למפתח הרישום 'הפעלה', שמבצע סקריפט PowerShell באמצעות 'cmd.exe'.

היכולות המאיימות של תוכנת הזדונית M2RAT

תוכנת ה-M2RAT Malware פועלת כסרויאני לגישה מרחוק עם מספר תכונות מזיקות, כגון רישום מקשים, גניבת נתונים, ביצוע פקודות וצילום צילומי מסך תקופתיים. יש לו את היכולת לסרוק מכשירים ניידים המחוברים למחשב Windows, כמו סמארטפונים או טאבלטים, ולאחר מכן הוא יעתיק את כל המסמכים או קבצי הקלטת הקול שנמצאו במכשיר למחשב הנגוע כדי שהתוקפים יוכלו לעיין בהם.

כל הנתונים שנאספים נדחסים לארכיון RAR מוגן בסיסמה לפני שהם עוברים סינון, והעותק המקומי של הנתונים נמחק מהזיכרון כדי להבטיח שלא יישארו עקבות מאחור. תכונה מעניינת של M2RAT היא שהיא משתמשת במקטע זיכרון משותף לתקשורת עם שרת הפקודה והבקרה (C2, C&C), חילוץ נתונים והעברה ישירה של נתונים שנאספו לשרת C2, מה שמקשה על האבטחה חוקרים לנתח את הזיכרון של מכשירים נגועים.

על ידי שימוש בתכונות אלו, M2RAT מקל על התוקפים לקבל גישה ולתת פקודות למערכת שנפרצה, כמו גם להרכיב נתונים מהמכשיר. זה הופך אותו לאיום חזק שכל המשתמשים צריכים להיות מודעים אליו.