M2RAT rosszindulatú program

Mezo -ra Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers-ben

Fordítás ide:

Az APT37 fenyegetettségi csoport arról ismert, hogy kifinomult taktikákat és technikákat alkalmaz kiberkémkedési műveletek végrehajtására az észak-koreai kormány nevében. Ezt a csoportot „RedEyes” vagy „ScarCruft” álnéven ismerik.

Megfigyelték, hogy az APT37 csoport egy új, „M2RAT” nevű kitérő rosszindulatú szoftvert használ egyének megcélzására hírszerzési célból. Ez a rosszindulatú program szteganográfiát használ, amely az információ digitális képeken belüli elrejtésének gyakorlata, hogy elkerülje a biztonsági szoftver általi észlelést. Az APT37 szteganográfia használata megnehezíti a biztonsági elemzők számára a rosszindulatú programjaik észlelését és elemzését, ami viszont nagyobb kihívást jelent a támadásaik megelőzésében vagy mérséklésében. Az M2RAT-ról és annak fenyegető kampányáról az AhnLab Security Emergency Response Center (ASEC) kiberbiztonsági kutatói jelentették be a részleteket.

Tartalomjegyzék

M2RAT Malware fertőzési lánc

Az ASEC szerint a fenyegető APT37 kampány 2023 januárjában kezdődött, amikor a hackerek kibertámadások sorozatát indították el, amelyek sérült csatolmányokat használtak az áldozatok megcélzására. A fegyveres mellékletek végrehajtásakor egy régi EPS-sebezhetőséget (CVE-2017-8291) használnak ki, amely a Dél-Koreában széles körben használt Hangul szövegszerkesztőben található. Az exploit egy shellkódot indít el, amely lefut az áldozat számítógépén, amely aztán letölt egy JPEG képen belül tárolt rossz végrehajtható fájlt. Ezt a JPG-fájlt a fenyegetés szereplői szteganográfia segítségével módosítják, lehetővé téve az M2RAT végrehajtható fájl („lskdjfei.exe”) lopva befecskendezését az „explorer.exe” fájlba. A rendszeren való kitartás érdekében a rosszindulatú program egy új értéket („RyPO”) ad hozzá a „Run” beállításkulcshoz, amely PowerShell-szkriptet hajt végre a „cmd.exe” fájlon keresztül.

Az M2RAT malware fenyegető képességei

Az M2RAT rosszindulatú program távoli hozzáférésű trójaiként működik, számos káros funkcióval, mint például a billentyűnaplózás, az adatlopás, a parancsvégrehajtás és az időszakos képernyőképek készítése. Lehetősége van Windows rendszerű számítógéphez csatlakoztatott hordozható eszközök (például okostelefonok vagy táblagépek) keresésére, majd az eszközön talált dokumentumokat vagy hangrögzítési fájlokat átmásolja a fertőzött számítógépre, hogy a támadók áttekinthessék.

Minden összegyűjtött adatot jelszóval védett RAR-archívumba tömörítenek, mielőtt kiszűrnék, és az adatok helyi másolata törlődik a memóriából, hogy ne maradjanak nyomok. Az M2RAT érdekessége, hogy egy megosztott memória részt használ a Command-and-Control (C2, C&C) szerverével való kommunikációhoz, az adatok kiszűréséhez és az összegyűjtött adatok közvetlen átviteléhez a C2 szerverre, ami megnehezíti a biztonságot. kutatók a fertőzött eszközök memóriájának elemzésére.

Ezen funkciók felhasználásával az M2RAT megkönnyíti a támadók számára a hozzáférést és a parancsok kiadását a feltört rendszerhez, valamint az adatok összegyűjtését az eszközről. Ez erős fenyegetést jelent, amellyel minden felhasználónak tisztában kell lennie.