M2RAT मैलवेयर

Mezo से Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers तक

अनुवाद करने के लिए:

APT37 खतरा समूह उत्तर कोरियाई सरकार की ओर से साइबर जासूसी संचालन करने के लिए परिष्कृत रणनीति और तकनीकों का उपयोग करने के लिए जाना जाता है। इस समूह को 'RedEyes' या 'ScarCruft' उपनामों से जाना जाता है।

समूह APT37 को खुफिया जानकारी एकत्र करने के लिए व्यक्तियों को लक्षित करने के लिए 'M2RAT' नामक एक नए कपटपूर्ण मैलवेयर का उपयोग करते हुए देखा गया है। यह मैलवेयर स्टेग्नोग्राफ़ी का उपयोग करता है, जो सुरक्षा सॉफ़्टवेयर द्वारा पता लगाने से बचने के लिए डिजिटल छवियों के भीतर जानकारी छिपाने का अभ्यास है। APT37 द्वारा स्टेग्नोग्राफ़ी के उपयोग से सुरक्षा विश्लेषकों के लिए उनके मैलवेयर का पता लगाना और उनका विश्लेषण करना अधिक कठिन हो जाता है, जिससे उनके हमलों को रोकना या कम करना अधिक चुनौतीपूर्ण हो जाता है। M2RAT और इसके धमकी भरे अभियान के बारे में विवरण AhnLab सुरक्षा आपातकालीन प्रतिक्रिया केंद्र (ASEC) के साइबर सुरक्षा शोधकर्ताओं द्वारा एक रिपोर्ट में जारी किया गया था।

विषयसूची

M2RAT मालवेयर की संक्रमण श्रृंखला

ASEC के अनुसार, धमकी देने वाला APT37 अभियान जनवरी 2023 में शुरू हुआ, जिसमें हैकर्स ने साइबर हमलों की एक श्रृंखला शुरू की, जिसमें पीड़ितों को निशाना बनाने के लिए दूषित अटैचमेंट का इस्तेमाल किया गया। जब हथियारों से लैस संलग्नकों को निष्पादित किया जाता है, तो वे दक्षिण कोरिया में व्यापक रूप से उपयोग किए जाने वाले हंगुल वर्ड प्रोसेसर में पाए जाने वाले पुराने ईपीएस भेद्यता (CVE-2017-8291) का फायदा उठाते हैं। शोषण शिकार के कंप्यूटर पर चलने के लिए एक शेलकोड को ट्रिगर करता है, जो तब जेपीईजी छवि के अंदर संग्रहीत एक खराब निष्पादन योग्य को डाउनलोड करता है। इस जेपीजी फ़ाइल को स्टेग्नोग्राफ़ी का उपयोग करके खतरे के अभिनेताओं द्वारा संशोधित किया गया है, जिससे M2RAT निष्पादन योग्य ('lskdjfei.exe') को चुपके से 'explorer.exe' में इंजेक्ट किया जा सकता है। सिस्टम पर दृढ़ता के लिए, मैलवेयर 'रन' रजिस्ट्री कुंजी में एक नया मान ('RyPO') जोड़ता है, जो 'cmd.exe' के माध्यम से एक PowerShell स्क्रिप्ट निष्पादित करता है।

M2RAT मालवेयर की खतरनाक क्षमताएं

M2RAT मालवेयर रिमोट एक्सेस ट्रोजन के रूप में कई हानिकारक विशेषताओं के साथ कार्य करता है, जैसे कीलॉगिंग, डेटा चोरी, कमांड निष्पादन और आवधिक स्क्रीनशॉट लेना। इसमें स्मार्टफोन या टैबलेट जैसे विंडोज कंप्यूटर से जुड़े पोर्टेबल उपकरणों के लिए स्कैन करने की क्षमता है, और फिर यह हमलावरों की समीक्षा के लिए संक्रमित पीसी पर डिवाइस पर पाए गए किसी भी दस्तावेज़ या वॉयस रिकॉर्डिंग फाइल को कॉपी करेगा।

सभी एकत्र किए गए डेटा को एक्सफ़िल्टर्ड होने से पहले एक पासवर्ड-सुरक्षित RAR संग्रह में संपीड़ित किया जाता है, और डेटा की स्थानीय प्रति को मेमोरी से मिटा दिया जाता है ताकि यह सुनिश्चित किया जा सके कि पीछे कोई निशान न रह जाए। M2RAT की एक दिलचस्प विशेषता यह है कि यह अपने कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ संचार के लिए एक साझा मेमोरी सेक्शन का उपयोग करता है, डेटा एक्सफिल्ट्रेशन, और एकत्रित डेटा को C2 सर्वर पर सीधे स्थानांतरित करता है, जिससे सुरक्षा के लिए यह और अधिक कठिन हो जाता है। शोधकर्ता संक्रमित उपकरणों की स्मृति का विश्लेषण करने के लिए।

इन सुविधाओं का उपयोग करके, M2RAT हमलावरों के लिए एक्सेस हासिल करना और समझौता किए गए सिस्टम को कमांड देना आसान बनाता है, साथ ही डिवाइस से डेटा इकट्ठा करता है। यह इसे एक शक्तिशाली खतरा बनाता है जिससे सभी उपयोगकर्ताओं को अवगत होना चाहिए।