M2RAT ļaunprātīga programmatūra

Līdz Mezo. gadam Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers. gadā

Tulkot uz:

APT37 draudu grupa ir pazīstama ar to, ka izmanto izsmalcinātu taktiku un paņēmienus, lai Ziemeļkorejas valdības vārdā veiktu kiberspiegošanas operācijas. Šī grupa ir pazīstama ar aizstājvārdiem "RedEyes" vai "ScarCruft".

Ir novērots, ka grupa APT37 izmanto jaunu izvairīgu ļaunprātīgu programmatūru, ko sauc par “M2RAT”, lai mērķētu uz personām izlūkdatu vākšanai. Šī ļaunprātīgā programmatūra izmanto steganogrāfiju, kas ir informācijas slēpšanas prakse digitālajos attēlos, lai izvairītos no drošības programmatūras atklāšanas. APT37 steganogrāfijas izmantošana apgrūtina drošības analītiķu iespējas atklāt un analizēt savu ļaunprātīgo programmatūru, kas savukārt padara to uzbrukumu novēršanu vai mazināšanu grūtāku. Sīkāka informācija par M2RAT un tā draudīgo kampaņu tika publicēta AhnLab drošības ārkārtas reaģēšanas centra (ASEC) kiberdrošības pētnieku ziņojumā.

Satura rādītājs

M2RAT ļaunprātīgas programmatūras infekcijas ķēde

Saskaņā ar ASEC datiem, draudošā APT37 kampaņa sākās 2023. gada janvārī, kad hakeri uzsāka virkni kiberuzbrukumu, kuros upuriem tika izmantoti bojāti pielikumi. Kad tiek izpildīti ieroču pielikumi, tie izmanto veco EPS ievainojamību (CVE-2017-8291), kas atrodama Dienvidkorejā plaši izmantotajā Hangul tekstapstrādes programmā. Ekspluatācija aktivizē čaulas kodu, kas tiek palaists upura datorā, kas pēc tam lejupielādē sliktu izpildāmo failu, kas saglabāts JPEG attēlā. Šo JPG failu modificē apdraudējuma dalībnieki, izmantojot steganogrāfiju, ļaujot M2RAT izpildāmajam failam ("lskdjfei.exe") slepeni ievadīt failu "explorer.exe". Lai nodrošinātu noturību sistēmā, ļaunprogrammatūra pievieno jaunu vērtību (“RyPO”) reģistra atslēgai “Run”, kas izpilda PowerShell skriptu, izmantojot “cmd.exe”.

M2RAT ļaunprātīgas programmatūras draudošās iespējas

M2RAT ļaunprogrammatūra darbojas kā attālās piekļuves Trojas zirgs ar vairākām kaitīgām funkcijām, piemēram, taustiņu reģistrēšanu, datu zādzību, komandu izpildi un periodisku ekrānuzņēmumu uzņemšanu. Tam ir iespēja skenēt pārnēsājamas ierīces, kas savienotas ar Windows datoru, piemēram, viedtālruņus vai planšetdatorus, un pēc tam visus ierīcē atrastos dokumentus vai balss ierakstīšanas failus pārkopēs inficētajā datorā, lai uzbrucēji tos varētu pārskatīt.

Pirms izfiltrēšanas visi savāktie dati tiek saspiesti ar paroli aizsargātā RAR arhīvā, un datu lokālā kopija tiek izdzēsta no atmiņas, lai nodrošinātu, ka nav atstātas pēdas. Interesanta M2RAT iezīme ir tā, ka tā izmanto koplietotās atmiņas sadaļu saziņai ar tā Command-and-Control (C2, C&C) serveri, datu eksfiltrācijai un tiešai savākto datu pārsūtīšanai uz C2 serveri, tādējādi apgrūtinot drošību. pētniekiem, lai analizētu inficēto ierīču atmiņu.

Izmantojot šīs funkcijas, M2RAT atvieglo uzbrucējiem piekļuvi un komandu izsniegšanu apdraudētajai sistēmai, kā arī datu apkopošanu no ierīces. Tas padara to par spēcīgu draudu, kas visiem lietotājiem ir jāzina.