Threat Database Malware M2RAT-malware

M2RAT-malware

De APT37-dreigingsgroep staat erom bekend geavanceerde tactieken en technieken te gebruiken om namens de Noord-Koreaanse regering cyberspionageoperaties uit te voeren. Deze groep staat bekend onder de aliassen 'RedEyes' of 'ScarCruft.'

Er is waargenomen dat de groep APT37 een nieuwe ontwijkende malware genaamd 'M2RAT' gebruikt om individuen te targeten voor het verzamelen van inlichtingen. Deze malware maakt gebruik van steganografie, het verbergen van informatie in digitale afbeeldingen, om detectie door beveiligingssoftware te voorkomen. Het gebruik van steganografie door APT37 maakt het moeilijker voor beveiligingsanalisten om hun malware te detecteren en te analyseren, wat het op zijn beurt moeilijker maakt om hun aanvallen te voorkomen of te beperken. Details over M2RAT en zijn dreigende campagne werden vrijgegeven in een rapport van de cybersecurity-onderzoekers van AhnLab Security Emergency Response Center (ASEC).

De infectieketen van M2RAT Malware

Volgens ASEC begon de dreigende APT37-campagne in januari 2023, toen de hackers een reeks cyberaanvallen lanceerden waarbij corrupte bijlagen werden gebruikt om slachtoffers te targeten. Wanneer de bewapende bijlagen worden uitgevoerd, maken ze misbruik van een oude EPS-kwetsbaarheid (CVE-2017-8291) die is gevonden in de Hangul-tekstverwerker die veel wordt gebruikt in Zuid-Korea. De exploit activeert een shellcode die wordt uitgevoerd op de computer van het slachtoffer, die vervolgens een slecht uitvoerbaar bestand downloadt dat is opgeslagen in een JPEG-afbeelding. Dit JPG-bestand wordt gewijzigd door de bedreigingsactoren met behulp van steganografie, waardoor het M2RAT-uitvoerbare bestand ('lskdjfei.exe') heimelijk kan worden geïnjecteerd in 'explorer.exe'. Voor persistentie op het systeem voegt de malware een nieuwe waarde ('RyPO') toe aan de 'Run'-registersleutel, die een PowerShell-script uitvoert via 'cmd.exe'.

De bedreigende mogelijkheden van de M2RAT-malware

De M2RAT-malware fungeert als een trojan voor externe toegang met meerdere schadelijke functies, zoals keylogging, gegevensdiefstal, het uitvoeren van opdrachten en het maken van periodieke schermafbeeldingen. Het heeft de mogelijkheid om te scannen naar draagbare apparaten die zijn aangesloten op een Windows-computer, zoals smartphones of tablets, en het zal vervolgens alle documenten of spraakopnamebestanden die op het apparaat zijn gevonden naar de geïnfecteerde pc kopiëren zodat de aanvallers deze kunnen bekijken.

Alle verzamelde gegevens worden gecomprimeerd in een met een wachtwoord beveiligd RAR-archief voordat ze worden geëxfiltreerd, en de lokale kopie van de gegevens wordt uit het geheugen gewist om ervoor te zorgen dat er geen sporen achterblijven. Een interessant kenmerk van M2RAT is dat het een gedeeld geheugengedeelte gebruikt voor communicatie met zijn Command-and-Control (C2, C&C)-server, gegevensexfiltratie en de directe overdracht van verzamelde gegevens naar de C2-server, waardoor het moeilijker wordt voor beveiliging onderzoekers om het geheugen van geïnfecteerde apparaten te analyseren.

Door deze functies te gebruiken, maakt M2RAT het voor aanvallers gemakkelijker om toegang te krijgen tot en opdrachten te geven aan het gecompromitteerde systeem, en om gegevens van het apparaat te verzamelen. Dit maakt het een krachtige bedreiging waarvan alle gebruikers op de hoogte moeten zijn.

M2RAT-malware Video

Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.

Trending

Meest bekeken

Bezig met laden...