Złośliwe oprogramowanie M2RAT

Do Mezo w Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Przetłumacz na:

Grupa zagrożeń APT37 znana jest z wykorzystywania wyrafinowanych taktyk i technik do przeprowadzania operacji cyberszpiegowskich w imieniu rządu Korei Północnej. Ta grupa znana jest pod pseudonimami „RedEyes” lub „ScarCruft”.

Zaobserwowano, że grupa APT37 używała nowego szkodliwego oprogramowania o nazwie „M2RAT”, aby atakować osoby w celu gromadzenia danych wywiadowczych. To złośliwe oprogramowanie wykorzystuje steganografię, czyli praktykę ukrywania informacji w obrazach cyfrowych, aby uniknąć wykrycia przez oprogramowanie zabezpieczające. Wykorzystanie steganografii przez APT37 utrudnia analitykom bezpieczeństwa wykrywanie i analizowanie ich złośliwego oprogramowania, co z kolei utrudnia zapobieganie atakom lub łagodzenie ich skutków. Szczegóły dotyczące M2RAT i jego groźnej kampanii zostały ujawnione w raporcie badaczy cyberbezpieczeństwa z AhnLab Security Emergency Response Center (ASEC).

Spis treści

Łańcuch infekcji złośliwym oprogramowaniem M2RAT

Według ASEC groźna kampania APT37 rozpoczęła się w styczniu 2023 r., kiedy to hakerzy przeprowadzili serię cyberataków wykorzystujących uszkodzone załączniki do atakowania ofiar. Kiedy uruchamiane są uzbrojone załączniki, wykorzystują starą lukę w zabezpieczeniach EPS (CVE-2017-8291) wykrytą w powszechnie używanym w Korei Południowej edytorze tekstu Hangul. Exploit uruchamia na komputerze ofiary kod powłoki, który następnie pobiera zły plik wykonywalny zapisany w obrazie JPEG. Ten plik JPG jest modyfikowany przez cyberprzestępców za pomocą steganografii, co umożliwia potajemne wstrzyknięcie pliku wykonywalnego M2RAT („lskdjfei.exe”) do „explorer.exe”. Aby zapewnić trwałość w systemie, złośliwe oprogramowanie dodaje nową wartość („RyPO”) do klucza rejestru „Run”, który uruchamia skrypt PowerShell za pośrednictwem „cmd.exe”.

Groźne możliwości złośliwego oprogramowania M2RAT

Złośliwe oprogramowanie M2RAT działa jak trojan zdalnego dostępu z wieloma szkodliwymi funkcjami, takimi jak rejestrowanie klawiszy, kradzież danych, wykonywanie poleceń i okresowe wykonywanie zrzutów ekranu. Ma możliwość skanowania urządzeń przenośnych podłączonych do komputera z systemem Windows, takich jak smartfony lub tablety, a następnie kopiuje wszelkie dokumenty lub pliki nagrań głosowych znalezione na urządzeniu na zainfekowany komputer, aby osoby atakujące mogły je przejrzeć.

Wszystkie zebrane dane są kompresowane do chronionego hasłem archiwum RAR przed eksfiltracją, a lokalna kopia danych jest usuwana z pamięci, aby upewnić się, że nie pozostały żadne ślady. Interesującą cechą M2RAT jest to, że wykorzystuje sekcję pamięci współdzielonej do komunikacji z serwerem Command-and-Control (C2, C&C), eksfiltracji danych i bezpośredniego przesyłania zebranych danych do serwera C2, co utrudnia bezpieczeństwo naukowców do analizy pamięci zainfekowanych urządzeń.

Wykorzystując te funkcje, M2RAT ułatwia atakującym uzyskanie dostępu i wydawanie poleceń do zaatakowanego systemu, a także gromadzenie danych z urządzenia. To sprawia, że jest to potężne zagrożenie, którego wszyscy użytkownicy powinni być świadomi.