M2RAT skadelig programvare

Med Mezo i Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Oversett til:

APT37-trusselgruppen er kjent for å bruke sofistikerte taktikker og teknikker for å utføre cyberspionasjeoperasjoner på vegne av den nordkoreanske regjeringen. Denne gruppen er kjent under aliasene 'RedEyes' eller 'ScarCruft.'

Gruppen APT37 har blitt observert ved å bruke en ny unnvikende skadelig programvare kalt 'M2RAT' for å målrette individer for etterretningsinnsamling. Denne skadelige programvaren bruker steganografi, som er praksisen med å skjule informasjon i digitale bilder, for å unngå oppdagelse av sikkerhetsprogramvare. APT37s bruk av steganografi gjør det vanskeligere for sikkerhetsanalytikere å oppdage og analysere deres skadevare, noe som igjen gjør det mer utfordrende å forhindre eller dempe angrepene deres. Detaljer om M2RAT og dens truende kampanje ble utgitt i en rapport fra cybersikkerhetsforskerne ved AhnLab Security Emergency Response Center (ASEC).

Innholdsfortegnelse

M2RAT Malwares infeksjonskjede

I følge ASEC startet den truende APT37-kampanjen i januar 2023, med hackerne som startet en serie cyberangrep som brukte korrupte vedlegg for å målrette ofre. Når de bevæpnede vedleggene blir utført, utnytter de en gammel EPS-sårbarhet (CVE-2017-8291) som finnes i Hangul-tekstbehandleren som er mye brukt i Sør-Korea. Utnyttelsen utløser en shellcode for å kjøre på offerets datamaskin, som deretter laster ned en dårlig kjørbar fil som er lagret i et JPEG-bilde. Denne JPG-filen er modifisert av trusselaktørene som bruker steganografi, slik at den kjørbare M2RAT-filen ('lskdjfei.exe') snikende kan injiseres i 'explorer.exe'. For utholdenhet på systemet, legger skadelig programvare til en ny verdi ('RyPO') til 'Run'-registernøkkelen, som kjører et PowerShell-skript via 'cmd.exe.'

De truende egenskapene til M2RAT-malware

M2RAT Malware fungerer som en fjerntilgangstrojaner med flere skadelige funksjoner, for eksempel tastelogging, datatyveri, kommandoutførelse og å ta periodiske skjermbilder. Den har muligheten til å skanne etter bærbare enheter koblet til en Windows-datamaskin, som smarttelefoner eller nettbrett, og den vil deretter kopiere alle dokumenter eller taleopptaksfiler som finnes på enheten til den infiserte PC-en slik at angriperne kan se dem.

Alle innsamlede data komprimeres til et passordbeskyttet RAR-arkiv før de eksfiltreres, og den lokale kopien av dataene slettes fra minnet for å sikre at det ikke er spor igjen. En interessant funksjon ved M2RAT er at den bruker en delt minneseksjon for kommunikasjon med Command-and-Control-serveren (C2, C&C), dataeksfiltrering og direkte overføring av innsamlede data til C2-serveren, noe som gjør det vanskeligere for sikkerheten. forskere for å analysere minnet til infiserte enheter.

Ved å bruke disse funksjonene gjør M2RAT det enklere for angripere å få tilgang og gi kommandoer til det kompromitterte systemet, samt samle data fra enheten. Dette gjør det til en potent trussel som alle brukere bør være klar over.