Malvér M2RAT
Skupina hrozieb APT37 je známa používaním sofistikovaných taktík a techník na vykonávanie kyberšpionážnych operácií v mene severokórejskej vlády. Táto skupina je známa pod prezývkami 'RedEyes' alebo 'ScarCruft.'
Skupina APT37 bola pozorovaná, ako používa nový únikový malvér s názvom „M2RAT“ na zacielenie na jednotlivcov na zhromažďovanie spravodajských informácií. Tento malvér využíva steganografiu, čo je prax skrývania informácií v digitálnych obrázkoch, aby sa zabránilo odhaleniu bezpečnostným softvérom. Použitie steganografie v APT37 sťažuje bezpečnostným analytikom detekciu a analýzu ich malvéru, čo zase sťažuje prevenciu alebo zmiernenie ich útokov. Podrobnosti o M2RAT a jeho hrozivej kampani boli zverejnené v správe výskumníkov kybernetickej bezpečnosti v AhnLab Security Emergency Response Center (ASEC).
Obsah
Infekčný reťazec malvéru M2RAT
Podľa ASEC sa hrozivá kampaň APT37 začala v januári 2023, keď hackeri spustili sériu kybernetických útokov, pri ktorých sa na obete použili poškodené prílohy. Keď sú vykonávané zbraňové prílohy, využívajú starú zraniteľnosť EPS (CVE-2017-8291), ktorá sa nachádza v textovom procesore Hangul, ktorý sa bežne používa v Južnej Kórei. Exploit spustí shell kód, ktorý sa spustí na počítači obete, ktorý potom stiahne zlý spustiteľný súbor uložený v obrázku JPEG. Tento súbor JPG je upravený aktérmi hrozieb pomocou steganografie, čo umožňuje, aby sa spustiteľný súbor M2RAT ('lskdjfei.exe') tajne vložil do súboru 'explorer.exe'. Kvôli zotrvaniu v systéme malvér pridáva novú hodnotu („RyPO“) do kľúča databázy Registry „Spustiť“, ktorý spúšťa skript PowerShell prostredníctvom „cmd.exe“.
Ohrozujúce schopnosti malvéru M2RAT
Malware M2RAT funguje ako trójsky kôň so vzdialeným prístupom s viacerými škodlivými funkciami, ako je zaznamenávanie kľúčov, krádež údajov, vykonávanie príkazov a pravidelné vytváranie snímok obrazovky. Má schopnosť vyhľadávať prenosné zariadenia pripojené k počítaču so systémom Windows, ako sú smartfóny alebo tablety, a potom skopíruje všetky dokumenty alebo súbory s hlasovými nahrávkami nájdené v zariadení do infikovaného počítača, aby ich mohli útočníci skontrolovať.
Všetky zhromaždené údaje sú pred exfiltráciou skomprimované do archívu RAR chráneného heslom a lokálna kópia údajov sa vymaže z pamäte, aby sa zabezpečilo, že po nich nezostanú žiadne stopy. Zaujímavou vlastnosťou M2RAT je, že využíva sekciu zdieľanej pamäte na komunikáciu so svojím serverom Command-and-Control (C2, C&C), exfiltráciu údajov a priamy prenos zozbieraných údajov na server C2, čo sťažuje bezpečnosť. výskumníkov na analýzu pamäte infikovaných zariadení.
Využitím týchto funkcií M2RAT uľahčuje útočníkom získať prístup a zadávať príkazy napadnutému systému, ako aj zhromažďovať údaje zo zariadenia. To z neho robí silnú hrozbu, o ktorej by si mali byť vedomí všetci používatelia.
Malvér M2RAT Video
Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .
