M2RAT skadlig programvara

Med Mezo år Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Översätt till:

APT37-hotgruppen är känd för att använda sofistikerad taktik och tekniker för att utföra cyberspionage på uppdrag av den nordkoreanska regeringen. Denna grupp är känd under aliasen 'RedEyes' eller 'ScarCruft'.

Gruppen APT37 har observerats använda en ny undvikande skadlig kod som kallas "M2RAT" för att rikta in sig på individer för insamling av underrättelser. Denna skadliga programvara använder steganografi, vilket är metoden att dölja information i digitala bilder, för att undvika upptäckt av säkerhetsprogramvara. APT37:s användning av steganografi gör det svårare för säkerhetsanalytiker att upptäcka och analysera deras skadliga program, vilket i sin tur gör det mer utmanande att förhindra eller mildra deras attacker. Detaljer om M2RAT och dess hotfulla kampanj släpptes i en rapport från cybersäkerhetsforskare vid AhnLab Security Emergency Response Center (ASEC).

Innehållsförteckning

M2RAT Malwares infektionskedja

Enligt ASEC startade den hotfulla APT37-kampanjen i januari 2023, då hackarna lanserade en serie cyberattacker som använde korrupta bilagor för att målsätta offer. När de beväpnade bilagorna exekveras, utnyttjar de en gammal EPS-sårbarhet (CVE-2017-8291) som finns i Hangul-ordbehandlaren som används ofta i Sydkorea. Exploateringen utlöser en skalkod som körs på offrets dator, som sedan laddar ner en dålig körbar fil lagrad i en JPEG-bild. Den här JPG-filen modifieras av hotaktörerna som använder steganografi, vilket gör att M2RAT-körbara filen ('lskdjfei.exe') smygande kan injiceras i 'explorer.exe'. För att vara kvar på systemet lägger den skadliga programvaran till ett nytt värde ('RyPO') till 'Run'-registernyckeln, som exekverar ett PowerShell-skript via 'cmd.exe'.

De hotande funktionerna hos M2RAT Malware

M2RAT Malware fungerar som en fjärråtkomsttrojan med flera skadliga funktioner, såsom tangentloggning, datastöld, kommandoexekvering och tagning av periodiska skärmdumpar. Den har förmågan att skanna efter bärbara enheter anslutna till en Windows-dator, som smartphones eller surfplattor, och den kopierar sedan alla dokument eller röstinspelningsfiler som finns på enheten till den infekterade datorn för angriparna att granska.

All insamlad data komprimeras till ett lösenordsskyddat RAR-arkiv innan den exfiltreras, och den lokala kopian av data raderas från minnet för att säkerställa att det inte finns några spår kvar. En intressant egenskap hos M2RAT är att den använder en delad minnessektion för kommunikation med sin Command-and-Control-server (C2, C&C), dataexfiltrering och direkt överföring av insamlad data till C2-servern, vilket gör det svårare för säkerheten forskare för att analysera minnet av infekterade enheter.

Genom att använda dessa funktioner gör M2RAT det enklare för angripare att få åtkomst och ge kommandon till det komprometterade systemet, samt att samla data från enheten. Detta gör det till ett potent hot som alla användare bör vara medvetna om.