М2РАТ Малваре

До Mezo. у Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Преведи на:

Група претњи АПТ37 позната је по томе што користи софистициране тактике и технике за спровођење операција сајбер шпијунаже у име владе Северне Кореје. Ова група је позната под псеудонима „РедЕиес“ или „СцарЦруфт“.

Група АПТ37 је примећена како користи нови малвер који се избегава под називом 'М2РАТ' да циља појединце ради прикупљања обавештајних података. Овај злонамерни софтвер користи стеганографију, што је пракса скривања информација унутар дигиталних слика, како би се избегао откривање од стране безбедносног софтвера. Употреба стеганографије у АПТ37 отежава безбедносним аналитичарима да открију и анализирају свој малвер, што заузврат чини изазовнијим спречавање или ублажавање њихових напада. Детаљи о М2РАТ-у и његовој пријетећој кампањи објављени су у извјештају истраживача кибернетичке сигурности у АхнЛаб Сецурити Емергенци Респонсе Центер (АСЕЦ).

Преглед садржаја

М2РАТ ланац заразе малвера

Према АСЕЦ-у, претећа кампања АПТ37 почела је у јануару 2023. године, када су хакери покренули серију сајбер напада који су користили корумпиране прилоге за циљање жртава. Када се активирају наоружани прилози, они искоришћавају стару ЕПС рањивост (ЦВЕ-2017-8291) која се налази у процесору текста Хангул који се широко користи у Јужној Кореји. Експлоатација покреће схеллцоде да се покрене на рачунару жртве, који затим преузима лошу извршну датотеку ускладиштену унутар ЈПЕГ слике. Ову ЈПГ датотеку модификују актери претњи користећи стеганографију, омогућавајући да се М2РАТ извршна датотека ('лскдјфеи.еке') потајно убаци у 'екплорер.еке'. За постојаност на систему, малвер додаје нову вредност („РиПО“) кључу регистра „Покрени“, који извршава ПоверСхелл скрипту преко „цмд.еке“.

Претеће могућности М2РАТ малвера

М2РАТ злонамерни софтвер делује као тројанац за даљински приступ са вишеструким штетним функцијама, као што су кеилоггинг, крађа података, извршавање команди и периодично прављење снимака екрана. Има могућност да скенира преносне уређаје повезане са Виндовс рачунаром, као што су паметни телефони или таблети, а затим ће копирати све документе или датотеке са снимком гласа пронађене на уређају на заражени рачунар како би их нападачи прегледали.

Сви прикупљени подаци се компримују у РАР архиву заштићену лозинком пре него што буду ексфилтрирани, а локална копија података се брише из меморије како би се осигурало да за собом не остану трагови. Занимљива карактеристика М2РАТ-а је да користи одељак дељене меморије за комуникацију са својим сервером за команду и контролу (Ц2, Ц&Ц), ексфилтрацију података и директан пренос прикупљених података на Ц2 сервер, што отежава безбедност истраживачи да анализирају меморију заражених уређаја.

Коришћењем ових функција, М2РАТ олакшава нападачима да добију приступ и дају команде компромитованом систему, као и да сакупе податке са уређаја. То га чини снажном претњом које сви корисници треба да буду свесни.