Zlonamerna programska oprema M2RAT

Do leta Mezo leta Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Prevedi v:

Nevarna skupina APT37 je znana po uporabi sofisticiranih taktik in tehnik za izvajanje operacij kibernetskega vohunjenja v imenu severnokorejske vlade. Ta skupina je znana po vzdevkih 'RedEyes' ali 'ScarCruft.'

Skupina APT37 je bila opažena, da uporablja novo zlonamerno programsko opremo, imenovano 'M2RAT', za ciljanje posameznikov za zbiranje obveščevalnih podatkov. Ta zlonamerna programska oprema uporablja steganografijo, kar je praksa skrivanja informacij v digitalnih slikah, da bi se izognili odkrivanju varnostne programske opreme. Zaradi uporabe steganografije v APT37 je varnostnim analitikom težje odkriti in analizirati njihovo zlonamerno programsko opremo, zaradi česar je preprečevanje ali ublažitev njihovih napadov težje. Podrobnosti o M2RAT in njegovi grozeči kampanji so bile objavljene v poročilu raziskovalcev kibernetske varnosti pri AhnLab Security Emergency Response Center (ASEC).

Kazalo

Okužna veriga zlonamerne programske opreme M2RAT

Po navedbah ASEC se je grozeča kampanja APT37 začela januarja 2023, ko so hekerji izvedli vrsto kibernetskih napadov, ki so uporabili poškodovane priloge za ciljanje žrtev. Ko se orožne priloge izvedejo, izkoristijo staro ranljivost EPS (CVE-2017-8291), ki jo najdemo v urejevalniku besedil Hangul, ki se pogosto uporablja v Južni Koreji. Izkoriščanje sproži zagon lupinske kode v računalniku žrtve, ki nato prenese slabo izvršljivo datoteko, shranjeno znotraj slike JPEG. To datoteko JPG akterji groženj spremenijo s steganografijo, kar omogoča, da se izvršljiva datoteka M2RAT ('lskdjfei.exe') prikrito vstavi v 'explorer.exe'. Za obstojnost v sistemu zlonamerna programska oprema doda novo vrednost ('RyPO') registrskemu ključu 'Zaženi', ki izvede skript PowerShell prek 'cmd.exe'.

Nevarne zmožnosti zlonamerne programske opreme M2RAT

Zlonamerna programska oprema M2RAT deluje kot trojanec za oddaljeni dostop z več škodljivimi funkcijami, kot so zapisovanje tipk, kraja podatkov, izvajanje ukazov in občasno snemanje posnetkov zaslona. Ima možnost iskanja prenosnih naprav, povezanih z računalnikom z operacijskim sistemom Windows, kot so pametni telefoni ali tablični računalniki, nato pa kopira vse dokumente ali datoteke z glasovnimi posnetki, ki jih najde v napravi, na okuženi računalnik, da jih napadalci pregledajo.

Vsi zbrani podatki so pred eksfiltracijo stisnjeni v arhiv RAR, zaščiten z geslom, lokalna kopija podatkov pa je izbrisana iz pomnilnika, da se zagotovi, da za njimi ne ostanejo sledi. Zanimiva značilnost M2RAT je, da uporablja del pomnilnika v skupni rabi za komunikacijo s svojim strežnikom Command-and-Control (C2, C&C), ekstrakcijo podatkov in neposreden prenos zbranih podatkov na strežnik C2, kar otežuje varnost raziskovalci za analizo pomnilnika okuženih naprav.

Z uporabo teh funkcij M2RAT napadalcem olajša dostop do ogroženega sistema in dajanje ukazov ter zbiranje podatkov iz naprave. Zaradi tega je močna grožnja, ki bi se je morali zavedati vsi uporabniki.