Threat Database Malware Malware M2RAT

Malware M2RAT

Il gruppo di minaccia APT37 è noto per l'utilizzo di tattiche e tecniche sofisticate per condurre operazioni di spionaggio informatico per conto del governo nordcoreano. Questo gruppo è noto con gli alias "RedEyes" o "ScarCruft".

Il gruppo APT37 è stato osservato utilizzando un nuovo malware evasivo chiamato "M2RAT" per prendere di mira le persone per la raccolta di informazioni. Questo malware utilizza la steganografia, ovvero la pratica di nascondere le informazioni all'interno di immagini digitali, per evitare il rilevamento da parte del software di sicurezza. L'uso della steganografia da parte di APT37 rende più difficile per gli analisti della sicurezza rilevare e analizzare il loro malware, il che a sua volta rende più difficile prevenire o mitigare i loro attacchi. I dettagli su M2RAT e la sua minacciosa campagna sono stati rilasciati in un rapporto dei ricercatori sulla sicurezza informatica dell'AhnLab Security Emergency Response Center (ASEC).

Catena di infezione del malware M2RAT

Secondo ASEC, la minacciosa campagna APT37 è iniziata nel gennaio 2023, con gli hacker che hanno lanciato una serie di attacchi informatici che hanno utilizzato allegati corrotti per prendere di mira le vittime. Quando gli allegati armati vengono eseguiti, sfruttano una vecchia vulnerabilità EPS (CVE-2017-8291) trovata nell'elaboratore di testi Hangul ampiamente utilizzato in Corea del Sud. L'exploit attiva uno shellcode da eseguire sul computer della vittima, che quindi scarica un eseguibile non valido memorizzato all'interno di un'immagine JPEG. Questo file JPG viene modificato dagli attori delle minacce utilizzando la steganografia, consentendo all'eseguibile M2RAT ('lskdjfei.exe') di essere iniettato furtivamente in 'explorer.exe'. Per la persistenza nel sistema, il malware aggiunge un nuovo valore ("RyPO") alla chiave di registro "Esegui", che esegue uno script PowerShell tramite "cmd.exe".

Le capacità minacciose del malware M2RAT

Il malware M2RAT agisce come un trojan di accesso remoto con molteplici funzionalità dannose, come il keylogging, il furto di dati, l'esecuzione di comandi e l'acquisizione di schermate periodiche. Ha la capacità di cercare dispositivi portatili collegati a un computer Windows, come smartphone o tablet, e quindi copierà qualsiasi documento o file di registrazione vocale trovato sul dispositivo sul PC infetto affinché gli aggressori possano esaminarlo.

Tutti i dati raccolti vengono compressi in un archivio RAR protetto da password prima di essere esfiltrati e la copia locale dei dati viene cancellata dalla memoria per garantire che non rimangano tracce. Una caratteristica interessante di M2RAT è che utilizza una sezione di memoria condivisa per la comunicazione con il suo server Command-and-Control (C2, C&C), l'esfiltrazione dei dati e il trasferimento diretto dei dati raccolti al server C2, rendendo più difficile la sicurezza ricercatori per analizzare la memoria dei dispositivi infetti.

Utilizzando queste funzionalità, M2RAT rende più facile per gli aggressori ottenere l'accesso e impartire comandi al sistema compromesso, nonché assemblare dati dal dispositivo. Questo lo rende una potente minaccia di cui tutti gli utenti dovrebbero essere a conoscenza.

Malware M2RAT Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .

Tendenza

I più visti

Caricamento in corso...