M2RAT Malware
Ang grupo ng pagbabanta ng APT37 ay kilala sa paggamit ng mga sopistikadong taktika at diskarte upang magsagawa ng mga operasyon ng cyber espionage sa ngalan ng pamahalaan ng North Korea. Ang grupong ito ay kilala sa mga alyas na 'RedEyes' o 'ScarCruft.'
Ang pangkat na APT37 ay naobserbahan gamit ang isang bagong nakakaiwas na malware na tinatawag na 'M2RAT' upang i-target ang mga indibidwal para sa koleksyon ng intelligence. Gumagamit ang malware na ito ng steganography, na siyang kasanayan ng pagtatago ng impormasyon sa loob ng mga digital na larawan, upang maiwasan ang pagtuklas ng software ng seguridad. Ang paggamit ng APT37 ng steganography ay ginagawang mas mahirap para sa mga security analyst na matukoy at masuri ang kanilang malware, na kung saan ay ginagawang mas mahirap na pigilan o pagaanin ang kanilang mga pag-atake. Ang mga detalye tungkol sa M2RAT at ang nagbabantang kampanya nito ay inilabas sa isang ulat ng mga mananaliksik ng cybersecurity sa AhnLab Security Emergency Response Center (ASEC).
Talaan ng mga Nilalaman
Chain ng Impeksiyon ng M2RAT Malware
Ayon sa ASEC, nagsimula ang nagbabantang kampanyang APT37 noong Enero 2023, kung saan ang mga hacker ay naglulunsad ng serye ng mga cyber attack na gumagamit ng mga tiwaling attachment upang i-target ang mga biktima. Kapag naisakatuparan ang mga naka-armas na attachment, sinasamantala nila ang isang lumang kahinaan sa EPS (CVE-2017-8291) na matatagpuan sa Hangul word processor na malawakang ginagamit sa South Korea. Ang pagsasamantala ay nagti-trigger ng isang shellcode na tumakbo sa computer ng biktima, na pagkatapos ay nagda-download ng masamang executable na nakaimbak sa loob ng isang JPEG na imahe. Ang JPG file na ito ay binago ng mga threat actor na gumagamit ng steganography, na nagpapahintulot sa M2RAT executable ('lskdjfei.exe') na palihim na mai-inject sa 'explorer.exe.' Para sa pagtitiyaga sa system, nagdaragdag ang malware ng bagong value ('RyPO') sa 'Run' Registry key, na nagpapatupad ng PowerShell script sa pamamagitan ng 'cmd.exe.'
Ang Mga Kakayahang Nagbabanta ng M2RAT Malware
Ang M2RAT Malware ay gumaganap bilang Remote Access Trojan na may maraming mapaminsalang feature, gaya ng keylogging, data theft, command execution at ang pagkuha ng pana-panahong mga screenshot. Ito ay may kakayahang mag-scan para sa mga portable na device na nakakonekta sa isang Windows computer, tulad ng mga smartphone o tablet, at pagkatapos ay kokopyahin nito ang anumang mga dokumento o voice recording file na makikita sa device papunta sa nahawaang PC para masuri ng mga umaatake.
Ang lahat ng nakolektang data ay na-compress sa isang RAR archive na protektado ng password bago i-exfiltrate, at ang lokal na kopya ng data ay napupunas mula sa memorya upang matiyak na walang mga bakas na naiwan. Ang isang kawili-wiling tampok ng M2RAT ay ang paggamit nito ng shared memory section para sa komunikasyon sa Command-and-Control (C2, C&C) server nito, data exfiltration, at direktang paglipat ng nakolektang data sa C2 server, na ginagawang mas mahirap para sa seguridad. mga mananaliksik upang pag-aralan ang memorya ng mga nahawaang device.
Sa pamamagitan ng paggamit sa mga feature na ito, ginagawang mas madali ng M2RAT para sa mga attacker na makakuha ng access at magbigay ng mga command sa nakompromisong system, pati na rin ang pag-assemble ng data mula sa device. Ginagawa nitong isang malakas na banta na dapat malaman ng lahat ng mga gumagamit.
M2RAT Malware Video
Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .
