M2RAT मालवेयर
APT37 खतरा समूह उत्तर कोरियाली सरकारको तर्फबाट साइबर जासूसी कार्यहरू सञ्चालन गर्न परिष्कृत रणनीति र प्रविधिहरू प्रयोग गर्नका लागि परिचित छ। यो समूहलाई 'रेडआइज' वा 'स्कारक्रफ्ट' उपनामले चिनिन्छ।
समूह APT37 ले गुप्तचर सङ्कलनका लागि व्यक्तिहरूलाई लक्षित गर्न 'M2RAT' नामक नयाँ इभेसिभ मालवेयर प्रयोग गरेको देखियो। यो मालवेयरले स्टेग्नोग्राफी प्रयोग गर्दछ, जुन सुरक्षा सफ्टवेयरद्वारा पत्ता लगाउनबाट बच्न डिजिटल छविहरूमा जानकारी लुकाउने अभ्यास हो। APT37 को स्टेग्नोग्राफीको प्रयोगले सुरक्षा विश्लेषकहरूलाई तिनीहरूको मालवेयर पत्ता लगाउन र विश्लेषण गर्न अझ गाह्रो बनाउँछ, जसले गर्दा तिनीहरूको आक्रमणहरूलाई रोक्न वा कम गर्न अझ चुनौतीपूर्ण बनाउँछ। M2RAT र यसको धम्कीपूर्ण अभियानको बारेमा विवरणहरू AhnLab सुरक्षा आपतकालीन प्रतिक्रिया केन्द्र (ASEC) मा साइबर सुरक्षा अनुसन्धानकर्ताहरूले एक रिपोर्टमा जारी गरेका थिए।
सामग्रीको तालिका
M2RAT मालवेयरको संक्रमण चेन
ASEC का अनुसार, ह्याकरहरूले भ्रष्ट संलग्नकहरू लक्षित पीडितहरूलाई प्रयोग गर्ने साइबर आक्रमणहरूको श्रृंखला सुरु गरेर जनवरी 2023 मा धम्कीपूर्ण APT37 अभियान सुरु भयो। जब हतियारयुक्त एट्याचमेन्टहरू कार्यान्वयन गरिन्छ, तिनीहरूले दक्षिण कोरियामा व्यापक रूपमा प्रयोग हुने हङ्गुल वर्ड प्रोसेसरमा पाइने पुरानो EPS भेद्यता (CVE-2017-8291) को शोषण गर्छन्। शोषणले पीडितको कम्प्युटरमा चलाउन शेलकोड ट्रिगर गर्दछ, जसले त्यसपछि JPEG छवि भित्र भण्डार गरिएको खराब कार्यान्वयन योग्य डाउनलोड गर्दछ। यो JPG फाइल स्टेग्नोग्राफी प्रयोग गरेर खतरा अभिनेताहरू द्वारा परिमार्जन गरिएको छ, M2RAT कार्यान्वयनयोग्य ('lskdjfei.exe') लाई लुकाएर 'explorer.exe' मा इन्जेक्सन गर्न अनुमति दिँदै। प्रणालीमा निरन्तरताको लागि, मालवेयरले 'रन' रजिस्ट्री कुञ्जीमा नयाँ मान ('RyPO') थप्छ, जसले 'cmd.exe' मार्फत PowerShell स्क्रिप्ट कार्यान्वयन गर्छ।
M2RAT मालवेयर को खतरा क्षमताहरु
M2RAT मालवेयरले धेरै हानिकारक सुविधाहरू जस्तै कीलगिङ, डाटा चोरी, आदेश कार्यान्वयन र आवधिक स्क्रिनसटहरू लिने रिमोट एक्सेस ट्रोजनको रूपमा कार्य गर्दछ। यसमा विन्डोज कम्प्युटरमा जडान भएका पोर्टेबल यन्त्रहरू जस्तै स्मार्टफोन वा ट्याब्लेटहरू स्क्यान गर्ने क्षमता छ, र त्यसपछि यसले आक्रमणकारीहरूलाई समीक्षा गर्नको लागि यन्त्रमा फेला परेका कुनै पनि कागजातहरू वा आवाज रेकर्डिङ फाइलहरूलाई संक्रमित पीसीमा प्रतिलिपि गर्नेछ।
सबै सङ्कलन गरिएको डाटालाई पासवर्ड-सुरक्षित RAR अभिलेखमा एक्सफिल्टर गर्नु अघि कम्प्रेस गरिएको छ, र डेटाको स्थानीय प्रतिलिपि मेमोरीबाट मेटाइन्छ कि पछाडि कुनै ट्रेसहरू बाँकी छैनन् भनी सुनिश्चित गर्न। M2RAT को एक चाखलाग्दो विशेषता यो हो कि यसले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भर, डाटा एक्सफिल्ट्रेसन, र C2 सर्भरमा सङ्कलन डाटाको प्रत्यक्ष स्थानान्तरणको लागि साझा मेमोरी खण्ड प्रयोग गर्दछ, यसले सुरक्षाको लागि अझ गाह्रो बनाउँछ। अनुसन्धानकर्ताहरूले संक्रमित उपकरणहरूको मेमोरी विश्लेषण गर्न।
यी सुविधाहरू प्रयोग गरेर, M2RAT ले आक्रमणकारीहरूलाई पहुँच प्राप्त गर्न र सम्झौता प्रणालीमा आदेशहरू दिन, साथै यन्त्रबाट डेटा जम्मा गर्न सजिलो बनाउँछ। यसले यसलाई एक शक्तिशाली खतरा बनाउँछ जुन सबै प्रयोगकर्ताहरू सचेत हुनुपर्छ।
M2RAT मालवेयर भिडियो
सुझाव: आफ्नो आवाज खोल्नुहोस् र पूर्ण स्क्रिन मोडमा भिडियो हेर्नुहोस् ।
