M2RAT 악성코드

APT37 위협 그룹은 정교한 전술과 기술을 사용하여 북한 정부를 대신하여 사이버 스파이 활동을 수행하는 것으로 알려져 있습니다. 이 그룹은 'RedEyes' 또는 'ScarCruft'라는 별칭으로 알려져 있습니다.

그룹 APT37은 'M2RAT'라는 신종 회피형 악성코드를 사용해 개인을 표적으로 삼아 정보 수집을 하는 것이 관찰됐다. 이 맬웨어는 보안 소프트웨어의 탐지를 피하기 위해 디지털 이미지 내에 정보를 숨기는 관행인 스테가노그래피를 사용합니다. APT37이 스테가노그래피를 사용하면 보안 분석가가 멀웨어를 탐지하고 분석하기가 더 어려워지므로 공격을 예방하거나 완화하기가 더 어려워집니다. AhnLab Security Emergency Response Center(ASEC)의 사이버 보안 연구원이 작성한 보고서에서 M2RAT 및 위협적인 캠페인에 대한 세부 정보가 공개되었습니다.

M2RAT 악성코드의 감염 사슬

ASEC에 따르면 위협적인 APT37 캠페인은 2023년 1월에 시작되었으며 해커는 피해자를 대상으로 손상된 첨부 파일을 사용하는 일련의 사이버 공격을 시작했습니다. 무기화된 첨부 파일이 실행되면 한국에서 널리 사용되는 한글 워드 프로세서에서 발견된 오래된 EPS 취약점(CVE-2017-8291)을 악용합니다. 익스플로잇은 피해자의 컴퓨터에서 실행되는 쉘코드를 트리거한 다음 JPEG 이미지에 저장된 잘못된 실행 파일을 다운로드합니다. 이 JPG 파일은 공격자가 스테가노그래피를 사용하여 수정하여 M2RAT 실행 파일('lskdjfei.exe')을 'explorer.exe'에 은밀하게 주입할 수 있습니다. 시스템의 지속성을 위해 악성코드는 'cmd.exe'를 통해 PowerShell 스크립트를 실행하는 '실행' 레지스트리 키에 새 값('RyPO')을 추가합니다.

M2RAT 악성코드의 위협적인 기능

M2RAT 악성코드는 키로깅, 데이터 도용, 명령 실행 및 주기적인 스크린샷 촬영과 같은 여러 유해 기능을 가진 원격 액세스 트로이 목마 역할을 합니다. 스마트폰이나 태블릿과 같이 Windows 컴퓨터에 연결된 휴대용 장치를 검색할 수 있는 기능이 있으며, 그런 다음 공격자가 검토할 수 있도록 장치에서 발견된 모든 문서나 음성 녹음 파일을 감염된 PC에 복사합니다.

수집된 모든 데이터는 유출되기 전에 암호로 보호된 RAR 아카이브로 압축되며 데이터의 로컬 사본은 메모리에서 지워져 흔적이 남지 않도록 합니다. M2RAT의 흥미로운 특징은 Command-and-Control(C2, C&C) 서버와의 통신, 데이터 유출, 수집된 데이터를 C2 서버로 직접 전송하기 위해 공유 메모리 섹션을 사용하므로 보안이 더 어렵다는 점입니다. 감염된 장치의 메모리를 분석하는 연구원.

M2RAT는 이러한 기능을 활용하여 공격자가 쉽게 액세스 권한을 얻고 손상된 시스템에 명령을 내리고 장치에서 데이터를 수집할 수 있도록 합니다. 따라서 모든 사용자가 알아야 하는 강력한 위협이 됩니다.

M2RAT 악성코드 비디오

팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.