Вредоносное ПО M2RAT

К Mezo году в Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers году

Перевести на:

Группа угроз APT37 известна тем, что использует сложные тактики и методы для проведения операций кибершпионажа от имени правительства Северной Кореи. Эта группа известна под псевдонимами «RedEyes» или «ScarCruft».

Было замечено, что группа APT37 использует новое уклоняющееся вредоносное ПО под названием «M2RAT», чтобы нацеливаться на отдельных лиц для сбора разведывательных данных. Это вредоносное ПО использует стеганографию, которая представляет собой практику сокрытия информации в цифровых изображениях, чтобы избежать обнаружения программным обеспечением безопасности. Использование стеганографии APT37 усложняет для аналитиков безопасности обнаружение и анализ вредоносного ПО, что, в свою очередь, затрудняет предотвращение или смягчение их атак. Подробности о M2RAT и его угрожающей кампании были опубликованы в отчете исследователей кибербезопасности из Центра реагирования на чрезвычайные ситуации AhnLab Security (ASEC).

Оглавление

Цепочка заражения вредоносным ПО M2RAT

По данным ASEC, кампания угроз APT37 началась в январе 2023 года, когда хакеры запустили серию кибератак, в которых использовались поврежденные вложения для жертв. Когда вооруженные вложения выполняются, они используют старую уязвимость EPS (CVE-2017-8291), обнаруженную в текстовом процессоре Hangul, широко используемом в Южной Корее. Эксплойт запускает шелл-код для запуска на компьютере жертвы, который затем загружает вредоносный исполняемый файл, хранящийся внутри изображения JPEG. Этот JPG-файл модифицируется злоумышленниками с помощью стеганографии, что позволяет незаметно внедрить исполняемый файл M2RAT («lskdjfei.exe») в «explorer.exe». Для сохранения в системе вредоносное ПО добавляет новое значение («RyPO») в ключ реестра «Выполнить», который запускает сценарий PowerShell через «cmd.exe».

Угрожающие возможности вредоносного ПО M2RAT

Вредоносная программа M2RAT действует как троян удаленного доступа с множеством вредоносных функций, таких как ведение журнала клавиатуры, кража данных, выполнение команд и создание периодических снимков экрана. Он имеет возможность сканировать портативные устройства, подключенные к компьютеру с Windows, такие как смартфоны или планшеты, а затем копировать любые документы или файлы голосовых записей, найденные на устройстве, на зараженный компьютер для просмотра злоумышленниками.

Все собранные данные перед эксфильтрацией сжимаются в защищенный паролем архив RAR, а локальная копия данных стирается из памяти, чтобы не осталось никаких следов. Интересной особенностью M2RAT является то, что он использует раздел общей памяти для связи со своим сервером Command-and-Control (C2, C&C), эксфильтрации данных и прямой передачи собранных данных на сервер C2, что затрудняет безопасность. исследователей для анализа памяти зараженных устройств.

Используя эти функции, M2RAT упрощает злоумышленникам доступ к скомпрометированной системе и отдачу команд, а также сбор данных с устройства. Это делает его серьезной угрозой, о которой должны знать все пользователи.