M2RAT Malware
Prijeteća skupina APT37 poznata je po korištenju sofisticiranih taktika i tehnika za provođenje operacija kibernetičke špijunaže u ime sjevernokorejske vlade. Ova je grupa poznata pod nadimcima 'RedEyes' ili 'ScarCruft.'
Grupa APT37 primijećena je kako koristi novi zlonamjerni softver pod nazivom 'M2RAT' za ciljanje pojedinaca za prikupljanje obavještajnih podataka. Ovaj zlonamjerni softver koristi steganografiju, što je praksa skrivanja informacija unutar digitalnih slika, kako bi se izbjeglo otkrivanje od strane sigurnosnog softvera. Korištenje steganografije APT37 otežava sigurnosnim analitičarima otkrivanje i analizu zlonamjernog softvera, što pak čini većim izazovom sprječavanje ili ublažavanje njihovih napada. Pojedinosti o M2RAT-u i njegovoj prijetećoj kampanji objavljeni su u izvješću istraživača kibernetičke sigurnosti u AhnLab Security Emergency Response Center (ASEC).
Sadržaj
Lanac zaraze zlonamjernog softvera M2RAT
Prema ASEC-u, prijeteća kampanja APT37 započela je u siječnju 2023., a hakeri su pokrenuli niz cyber napada koji su koristili oštećene privitke za ciljanje žrtava. Kada se oružani prilozi izvrše, oni iskorištavaju staru EPS ranjivost (CVE-2017-8291) pronađenu u Hangul programu za obradu teksta koji se naširoko koristi u Južnoj Koreji. Eksploatacija pokreće shellcode za pokretanje na žrtvinom računalu, koje zatim preuzima lošu izvršnu datoteku pohranjenu unutar JPEG slike. Ovu JPG datoteku modificiraju prijetnje akteri koristeći steganografiju, dopuštajući da se izvršni M2RAT ('lskdjfei.exe') potajno ubaci u 'explorer.exe'. Za postojanost u sustavu, zlonamjerni softver dodaje novu vrijednost ('RyPO') ključu registra 'Run', koji izvršava PowerShell skriptu putem 'cmd.exe'.
Prijeteće mogućnosti zlonamjernog softvera M2RAT
Zlonamjerni softver M2RAT djeluje kao trojanac s daljinskim pristupom s višestrukim štetnim značajkama, kao što je keylogging, krađa podataka, izvršavanje naredbi i povremeno snimanje zaslona. Ima mogućnost skeniranja prijenosnih uređaja povezanih s Windows računalom, poput pametnih telefona ili tableta, a zatim će kopirati sve dokumente ili datoteke sa glasovnim zapisima pronađene na uređaju na zaraženo računalo kako bi ih napadači mogli pregledati.
Svi prikupljeni podaci sažimaju se u RAR arhivu zaštićenu lozinkom prije eksfiltracije, a lokalna kopija podataka briše se iz memorije kako bi se osiguralo da za sobom ne ostanu nikakvi tragovi. Zanimljiva značajka M2RAT-a je da koristi odjeljak dijeljene memorije za komunikaciju sa svojim Command-and-Control (C2, C&C) poslužiteljem, eksfiltraciju podataka i izravan prijenos prikupljenih podataka na C2 poslužitelj, što otežava sigurnost istraživači za analizu memorije zaraženih uređaja.
Korištenjem ovih značajki, M2RAT napadačima olakšava pristup i davanje naredbi kompromitiranom sustavu, kao i prikupljanje podataka s uređaja. To ga čini snažnom prijetnjom koje bi svi korisnici trebali biti svjesni.
M2RAT Malware video
Savjet: Pretvorite svoj zvuk i gledati video u full screen modu.
