M2RAT มัลแวร์

โดย Mezo ใน Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

แปลเป็น:

กลุ่มภัยคุกคาม APT37 เป็นที่รู้จักจากการใช้กลวิธีและเทคนิคที่ซับซ้อนในการดำเนินการจารกรรมทางไซเบอร์ในนามของรัฐบาลเกาหลีเหนือ กลุ่มนี้รู้จักกันในชื่อ 'RedEyes' หรือ 'ScarCruft'

มีการสังเกตว่ากลุ่ม APT37 ใช้มัลแวร์หลบเลี่ยงตัวใหม่ที่เรียกว่า 'M2RAT' เพื่อกำหนดเป้าหมายบุคคลเพื่อรวบรวมข้อมูลข่าวกรอง มัลแวร์นี้ใช้ steganography ซึ่งเป็นวิธีปฏิบัติในการซ่อนข้อมูลภายในภาพดิจิทัล เพื่อหลีกเลี่ยงการตรวจพบโดยซอฟต์แวร์รักษาความปลอดภัย การใช้ซูรินาเมของ APT37 ทำให้นักวิเคราะห์ด้านความปลอดภัยตรวจจับและวิเคราะห์มัลแวร์ได้ยากขึ้น ซึ่งทำให้การป้องกันหรือบรรเทาการโจมตีทำได้ยากขึ้น รายละเอียดเกี่ยวกับ M2RAT และแคมเปญที่เป็นภัยคุกคามได้รับการเปิดเผยในรายงานโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ AhnLab Security Emergency Response Center (ASEC)

สารบัญ

ห่วงโซ่การติดเชื้อของมัลแวร์ M2RAT

จากข้อมูลของ ASEC แคมเปญ APT37 ที่เป็นภัยคุกคามเริ่มต้นในเดือนมกราคม พ.ศ. 2566 โดยแฮ็กเกอร์ได้เปิดการโจมตีทางไซเบอร์หลายชุดซึ่งใช้ไฟล์แนบที่เสียหายเพื่อกำหนดเป้าหมายเป็นเหยื่อ เมื่อมีการดำเนินการสิ่งที่แนบมาด้วยอาวุธ พวกเขาใช้ประโยชน์จากช่องโหว่ EPS แบบเก่า (CVE-2017-8291) ที่พบในโปรแกรมประมวลผลคำภาษาอังกูลที่ใช้กันอย่างแพร่หลายในเกาหลีใต้ การเจาะระบบจะเรียกเชลล์โค้ดให้ทำงานบนคอมพิวเตอร์ของเหยื่อ จากนั้นจะดาวน์โหลดไฟล์ปฏิบัติการที่ไม่ถูกต้องเก็บไว้ในภาพ JPEG ไฟล์ JPG นี้ถูกแก้ไขโดยผู้ก่อภัยคุกคามโดยใช้ซูรินาเม อนุญาตให้มีการแทรกไฟล์ปฏิบัติการ M2RAT ('lskdjfei.exe') เข้าไปใน 'explorer.exe' อย่างลับๆ เพื่อให้คงอยู่ในระบบ มัลแวร์จะเพิ่มค่าใหม่ ('RyPO') ให้กับคีย์รีจิสทรี 'เรียกใช้' ซึ่งจะรันสคริปต์ PowerShell ผ่าน 'cmd.exe'

ความสามารถที่เป็นอันตรายของมัลแวร์ M2RAT

มัลแวร์ M2RAT ทำหน้าที่เป็นโทรจัน Remote Access ที่มีคุณลักษณะที่เป็นอันตรายหลายอย่าง เช่น การล็อกคีย์ การโจรกรรมข้อมูล การดำเนินการคำสั่ง และการจับภาพหน้าจอเป็นระยะๆ มีความสามารถในการสแกนหาอุปกรณ์พกพาที่เชื่อมต่อกับคอมพิวเตอร์ Windows เช่น สมาร์ทโฟนหรือแท็บเล็ต จากนั้นจะคัดลอกเอกสารหรือไฟล์บันทึกเสียงที่พบในอุปกรณ์ไปยังพีซีที่ติดไวรัสเพื่อให้ผู้โจมตีตรวจสอบ

ข้อมูลที่รวบรวมทั้งหมดจะถูกบีบอัดลงในไฟล์เก็บถาวร RAR ที่ป้องกันด้วยรหัสผ่านก่อนที่จะถูกแยกออก และสำเนาข้อมูลในเครื่องจะถูกลบออกจากหน่วยความจำเพื่อให้แน่ใจว่าไม่มีร่องรอยหลงเหลืออยู่ คุณสมบัติที่น่าสนใจของ M2RAT คือใช้ส่วนหน่วยความจำที่ใช้ร่วมกันสำหรับการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) การกรองข้อมูล และการถ่ายโอนข้อมูลที่รวบรวมโดยตรงไปยังเซิร์ฟเวอร์ C2 ทำให้ยากต่อการรักษาความปลอดภัย นักวิจัยวิเคราะห์หน่วยความจำของอุปกรณ์ที่ติดไวรัส

ด้วยการใช้คุณสมบัติเหล่านี้ M2RAT ช่วยให้ผู้โจมตีเข้าถึงและสั่งการระบบที่ถูกบุกรุกได้ง่ายขึ้น รวมทั้งรวบรวมข้อมูลจากอุปกรณ์ สิ่งนี้ทำให้เป็นภัยคุกคามที่ผู้ใช้ทุกคนควรระวัง