Malware M2RAT
Grupul de amenințare APT37 este cunoscut pentru că folosește tactici și tehnici sofisticate pentru a desfășura operațiuni de spionaj cibernetic în numele guvernului nord-coreean. Acest grup este cunoscut sub numele de „RedEyes” sau „ScarCruft”.
Grupul APT37 a fost observat folosind un nou malware evaziv numit „M2RAT” pentru a viza indivizi pentru colectarea informațiilor. Acest malware folosește steganografia, care este practica de a ascunde informații în imaginile digitale, pentru a evita detectarea de către software-ul de securitate. Utilizarea de către APT37 a steganografiei face mai dificilă pentru analiștii de securitate să detecteze și să analizeze programele malware, ceea ce, la rândul său, face mai dificilă prevenirea sau atenuarea atacurilor lor. Detalii despre M2RAT și campania sa amenințătoare au fost publicate într-un raport al cercetătorilor în securitate cibernetică de la Centrul de răspuns la urgențe de securitate AhnLab (ASEC).
Cuprins
Lanțul de infecție al programelor malware M2RAT
Potrivit ASEC, campania amenințătoare APT37 a început în ianuarie 2023, hackerii lansând o serie de atacuri cibernetice care au folosit atașamente corupte pentru a viza victimele. Când atașamentele armate sunt executate, ele exploatează o veche vulnerabilitate EPS (CVE-2017-8291) găsită în procesorul de text Hangul utilizat pe scară largă în Coreea de Sud. Exploatarea declanșează rularea unui shellcode pe computerul victimei, care apoi descarcă un executabil prost stocat într-o imagine JPEG. Acest fișier JPG este modificat de către actorii amenințărilor folosind steganografia, permițând executabilului M2RAT („lskdjfei.exe”) să fie injectat pe furiș în „explorer.exe”. Pentru persistența în sistem, malware-ul adaugă o nouă valoare („RyPO”) cheii de registru „Run”, care execută un script PowerShell prin „cmd.exe”.
Capacitățile amenințătoare ale programului malware M2RAT
Malware-ul M2RAT acționează ca un troian de acces la distanță cu multiple caracteristici dăunătoare, cum ar fi înregistrarea tastelor, furtul de date, executarea comenzilor și realizarea periodică de capturi de ecran. Are capacitatea de a scana dispozitivele portabile conectate la un computer Windows, cum ar fi smartphone-uri sau tablete, și apoi va copia orice documente sau fișiere de înregistrare vocală găsite pe dispozitiv pe computerul infectat pentru ca atacatorii să le examineze.
Toate datele culese sunt comprimate într-o arhivă RAR protejată prin parolă înainte de a fi exfiltrate, iar copia locală a datelor este ștearsă din memorie pentru a se asigura că nu există urme lăsate în urmă. O caracteristică interesantă a M2RAT este că folosește o secțiune de memorie partajată pentru comunicarea cu serverul său Command-and-Control (C2, C&C), exfiltrarea datelor și transferul direct al datelor colectate către serverul C2, ceea ce face mai dificilă pentru securitate. cercetătorii să analizeze memoria dispozitivelor infectate.
Prin utilizarea acestor caracteristici, M2RAT facilitează accesul atacatorilor și să ofere comenzi sistemului compromis, precum și asamblarea datelor de pe dispozitiv. Acest lucru îl face o amenințare puternică de care ar trebui să fie conștienți de toți utilizatorii.
Malware M2RAT Video
Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .
