Malware M2RAT
Grupi i kërcënimit APT37 është i njohur për përdorimin e taktikave dhe teknikave të sofistikuara për të kryer operacione të spiunazhit kibernetik në emër të qeverisë së Koresë së Veriut. Ky grup njihet me pseudonimet 'RedEyes' ose 'ScarCruft'.
Grupi APT37 është vëzhguar duke përdorur një malware të ri evaziv të quajtur 'M2RAT' për të synuar individët për mbledhjen e inteligjencës. Ky malware përdor steganografinë, e cila është praktikë e fshehjes së informacionit brenda imazheve dixhitale, për të shmangur zbulimin nga softueri i sigurisë. Përdorimi i steganografisë nga APT37 e bën më të vështirë për analistët e sigurisë zbulimin dhe analizimin e malware të tyre, gjë që nga ana tjetër e bën më sfiduese parandalimin ose zbutjen e sulmeve të tyre. Detaje rreth M2RAT dhe fushatës së tij kërcënuese u publikuan në një raport nga studiuesit e sigurisë kibernetike në Qendrën e Reagimit Emergjent të Sigurisë AhnLab (ASEC).
Tabela e Përmbajtjes
Zinxhiri i Infeksionit të M2RAT Malware
Sipas ASEC, fushata kërcënuese APT37 filloi në janar 2023, me hakerat që nisën një seri sulmesh kibernetike që përdorën bashkëngjitje të korruptuara për të synuar viktimat. Kur ekzekutohen bashkëngjitjet e armatosura, ato shfrytëzojnë një dobësi të vjetër EPS (CVE-2017-8291) që gjendet në përpunuesin e tekstit Hangul, i përdorur gjerësisht në Korenë e Jugut. Shfrytëzimi shkakton një kod shell për të ekzekutuar në kompjuterin e viktimës, i cili më pas shkarkon një ekzekutues të keq të ruajtur brenda një imazhi JPEG. Ky skedar JPG modifikohet nga aktorët e kërcënimit duke përdorur steganografinë, duke lejuar që ekzekutuesi M2RAT ('lskdjfei.exe') të injektohet fshehurazi në 'explorer.exe'. Për të qëndruar në sistem, malware shton një vlerë të re ('RyPO') në çelësin e regjistrit 'Run', i cili ekzekuton një skript PowerShell nëpërmjet 'cmd.exe'.
Aftësitë kërcënuese të malware M2RAT
Malware M2RAT vepron si një Trojan Remote Access me karakteristika të shumta të dëmshme, të tilla si regjistrimi i tasteve, vjedhja e të dhënave, ekzekutimi i komandave dhe marrja e pamjeve periodike të ekranit. Ai ka aftësinë të skanojë për pajisje portative të lidhura me një kompjuter Windows, si telefonat inteligjentë ose tabletët, dhe më pas do të kopjojë çdo dokument ose skedar regjistrimi zëri që gjendet në pajisje në kompjuterin e infektuar që sulmuesit ta shqyrtojnë.
Të gjitha të dhënat e mbledhura kompresohen në një arkiv RAR të mbrojtur me fjalëkalim përpara se të ekzfiltohen, dhe kopja lokale e të dhënave fshihet nga memorja për t'u siguruar që nuk ka mbetur asnjë gjurmë. Një tipar interesant i M2RAT është se ai përdor një seksion memorie të përbashkët për komunikim me serverin e tij Command-and-Control (C2, C&C), nxjerrjen e të dhënave dhe transferimin e drejtpërdrejtë të të dhënave të mbledhura në serverin C2, duke e bërë më të vështirë për sigurinë. studiuesit për të analizuar kujtesën e pajisjeve të infektuara.
Duke përdorur këto veçori, M2RAT e bën më të lehtë për sulmuesit të kenë akses dhe të japin komanda në sistemin e komprometuar, si dhe të mbledhin të dhëna nga pajisja. Kjo e bën atë një kërcënim të fuqishëm për të cilin të gjithë përdoruesit duhet të jenë të vetëdijshëm.
Malware M2RAT Video
Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.
