M2RAT Kötü Amaçlı Yazılım
APT37 tehdit grubu, Kuzey Kore hükümeti adına siber casusluk operasyonları yürütmek için gelişmiş taktikler ve teknikler kullanmasıyla tanınır. Bu grup 'RedEyes' veya 'ScarCruft' takma adlarıyla bilinir.
APT37 grubunun, istihbarat toplamak amacıyla bireyleri hedeflemek için 'M2RAT' adlı yeni bir kaçamak kötü amaçlı yazılım kullandığı gözlemlendi. Bu kötü amaçlı yazılım, güvenlik yazılımı tarafından algılanmaktan kaçınmak için dijital görüntülerde bilgi gizleme uygulaması olan steganografiyi kullanır. APT37'nin steganografi kullanması, güvenlik analistlerinin kötü amaçlı yazılımlarını algılamasını ve analiz etmesini zorlaştırır ve bu da saldırılarını önlemeyi veya hafifletmeyi daha zor hale getirir. M2RAT ve tehdit edici kampanyasıyla ilgili ayrıntılar, AhnLab Güvenlik Acil Müdahale Merkezi'ndeki (ASEC) siber güvenlik araştırmacıları tarafından hazırlanan bir raporda yayınlandı.
İçindekiler
M2RAT Kötü Amaçlı Yazılımın Bulaşma Zinciri
ASEC'e göre tehditkar APT37 kampanyası, bilgisayar korsanlarının kurbanları hedef almak için bozuk ekler kullanan bir dizi siber saldırı başlatmasıyla Ocak 2023'te başladı. Silah haline getirilmiş ekler yürütüldüğünde, Güney Kore'de yaygın olarak kullanılan Hangul kelime işlemcisinde bulunan eski bir EPS güvenlik açığından (CVE-2017-8291) yararlanırlar. İstismar, kurbanın bilgisayarında çalışacak bir kabuk kodunu tetikler ve ardından bir JPEG görüntüsünün içinde depolanan kötü bir yürütülebilir dosyayı indirir. Bu JPG dosyası, steganografi kullanan tehdit aktörleri tarafından değiştirilerek M2RAT yürütülebilir dosyasının ('lskdjfei.exe') gizlice 'explorer.exe'ye eklenmesine olanak tanır. Sistemde kalıcılık için kötü amaçlı yazılım, 'cmd.exe' aracılığıyla bir PowerShell betiğini yürüten 'Çalıştır' Kayıt Defteri anahtarına yeni bir değer ('RyPO') ekler.
M2RAT Kötü Amaçlı Yazılımının Tehdit Edici Yetenekleri
M2RAT Kötü Amaçlı Yazılımı, keylogging, veri hırsızlığı, komut yürütme ve periyodik ekran görüntüleri alma gibi çok sayıda zararlı özelliğe sahip bir Uzaktan Erişim Truva Atı görevi görür. Akıllı telefonlar veya tabletler gibi bir Windows bilgisayara bağlı taşınabilir aygıtları tarama yeteneğine sahiptir ve ardından aygıtta bulunan tüm belgeleri veya ses kaydı dosyalarını saldırganların incelemesi için virüslü PC'ye kopyalar.
Toplanan tüm veriler, dışarı çıkarılmadan önce parola korumalı bir RAR arşivinde sıkıştırılır ve verilerin yerel kopyası, geride hiçbir iz kalmadığından emin olmak için bellekten silinir. M2RAT'ın ilginç bir özelliği, Komuta ve Kontrol (C2, C&C) sunucusuyla iletişim, veri hırsızlığı ve toplanan verilerin doğrudan C2 sunucusuna aktarılması için paylaşılan bir bellek bölümü kullanmasıdır, bu da güvenliği zorlaştırır. Araştırmacılar, virüslü cihazların hafızasını analiz etmek için.
M2RAT, bu özellikleri kullanarak, saldırganların güvenliği ihlal edilmiş sisteme erişmesini ve komutlar vermesini ve ayrıca cihazdan veri toplamasını kolaylaştırır. Bu, onu tüm kullanıcıların bilmesi gereken güçlü bir tehdit haline getirir.
M2RAT Kötü Amaçlı Yazılım Video
İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .
