M2RAT kenkėjiška programa

Autorius Mezo, Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Versti į:

APT37 grėsmių grupė yra žinoma dėl to, kad Šiaurės Korėjos vyriausybės vardu vykdo kibernetinio šnipinėjimo operacijas naudojant sudėtingą taktiką ir metodus. Ši grupė žinoma slapyvardžiais „RedEyes“ arba „ScarCruft“.

Buvo pastebėta, kad grupė APT37 naudojo naują išvengiamą kenkėjišką programinę įrangą, vadinamą „M2RAT“, skirtą asmenims rinkti žvalgybos duomenis. Ši kenkėjiška programa naudoja steganografiją, kuri yra informacijos slėpimo skaitmeniniuose vaizduose praktika, kad saugos programinė įranga neaptiktų. APT37 naudojant steganografiją apsunkina saugumo analitikams galimybę aptikti ir analizuoti savo kenkėjiškas programas, o tai savo ruožtu apsunkina jų atakų prevenciją arba jų mažinimą. Išsamią informaciją apie M2RAT ir jo grėsmingą kampaniją paskelbė „AhnLab Security Emergency Response Center“ (ASEC) kibernetinio saugumo tyrėjai.

Turinys

M2RAT kenkėjiškų programų infekcijos grandinė

Anot ASEC, grėsminga APT37 kampanija prasidėjo 2023 m. sausio mėn., kai įsilaužėliai pradėjo daugybę kibernetinių atakų, kurių aukoms buvo naudojami sugadinti priedai. Kai vykdomi ginkluoti priedai, jie išnaudoja seną EPS pažeidžiamumą (CVE-2017-8291), randamą Pietų Korėjoje plačiai naudojamoje Hangul tekstų rengyklėje. Išnaudojimas suaktyvina apvalkalo kodą, kuris paleidžiamas aukos kompiuteryje, o tada atsisiunčiamas blogas vykdomasis failas, saugomas JPEG atvaizde. Šį JPG failą modifikuoja grėsmės veikėjai, naudodami steganografiją, todėl M2RAT vykdomąjį failą („lskdjfei.exe“) galima slapta įterpti į „explorer.exe“. Kad sistema išliktų, kenkėjiška programa prideda naują reikšmę („RyPO“) prie „Run“ registro rakto, kuris vykdo „PowerShell“ scenarijų per „cmd.exe“.

M2RAT kenkėjiškos programos grėsmingos galimybės

M2RAT kenkėjiška programa veikia kaip nuotolinės prieigos Trojos arklys su daugybe žalingų funkcijų, tokių kaip klaviatūros registravimas, duomenų vagystė, komandų vykdymas ir periodinių ekrano kopijų darymas. Jis turi galimybę nuskaityti nešiojamuosius įrenginius, prijungtus prie „Windows“ kompiuterio, pvz., išmaniuosius telefonus ar planšetinius kompiuterius, ir nukopijuos visus įrenginyje rastus dokumentus ar balso įrašymo failus į užkrėstą kompiuterį, kad užpuolikai galėtų juos peržiūrėti.

Prieš išfiltruojant, visi surinkti duomenys suglaudinami į slaptažodžiu apsaugotą RAR archyvą, o vietinė duomenų kopija išvaloma iš atminties, kad nebūtų paliktų pėdsakų. Įdomi M2RAT ypatybė yra ta, kad ji naudoja bendrinamos atminties skyrių ryšiui su savo komandų ir valdymo (C2, C&C) serveriu, duomenų išfiltravimui ir tiesioginiam surinktų duomenų perkėlimui į C2 serverį, o tai apsunkina saugumą. tyrėjai analizuoja užkrėstų įrenginių atmintį.

Naudodamas šias funkcijas, M2RAT leidžia užpuolikams lengviau pasiekti pažeistą sistemą ir duoti jai komandas, taip pat rinkti duomenis iš įrenginio. Dėl to tai yra didelė grėsmė, apie kurią turėtų žinoti visi vartotojai.