Threat Database Malware Шкідливе програмне забезпечення M2RAT

Шкідливе програмне забезпечення M2RAT

Група загроз APT37 відома використанням складних тактик і методів для проведення операцій кібершпигунства від імені уряду Північної Кореї. Ця група відома під псевдонімами «RedEyes» або «ScarCruft».

Було виявлено, що група APT37 використовує нове зловмисне програмне забезпечення під назвою «M2RAT» для націлювання на окремих осіб для збору розвідувальних даних. Це зловмисне програмне забезпечення використовує стеганографію, тобто практику приховування інформації в цифрових зображеннях, щоб уникнути виявлення програмним забезпеченням безпеки. Використання стеганографії в APT37 ускладнює аналітикам безпеки виявлення та аналіз зловмисного програмного забезпечення, що, у свою чергу, ускладнює запобігання або пом’якшення їхніх атак. Подробиці про M2RAT та його загрозливу кампанію були оприлюднені у звіті дослідників кібербезпеки з Центру реагування на надзвичайні ситуації AhnLab Security Emergency Response Center (ASEC).

Ланцюг зараження шкідливого ПЗ M2RAT

За даними ASEC, загрозлива кампанія APT37 почалася в січні 2023 року, коли хакери здійснили серію кібератак, використовуючи пошкоджені вкладення для націлювання на жертв. Коли збройні вкладення виконуються, вони використовують стару вразливість EPS (CVE-2017-8291), знайдену в текстовому процесорі Hangul, який широко використовується в Південній Кореї. Експлойт запускає шелл-код для запуску на комп’ютері жертви, який потім завантажує поганий виконуваний файл, що зберігається всередині зображення JPEG. Цей файл JPG змінено загрозливими суб’єктами за допомогою стеганографії, що дозволяє непомітно вставити виконуваний файл M2RAT ('lskdjfei.exe') у 'explorer.exe'. Для стійкості в системі зловмисне програмне забезпечення додає нове значення (RyPO) до ключа реєстру Run, який виконує сценарій PowerShell через cmd.exe.

Загрозливі можливості шкідливого програмного забезпечення M2RAT

Зловмисне програмне забезпечення M2RAT діє як троян віддаленого доступу з кількома шкідливими функціями, такими як клавіатурний журнал, крадіжка даних, виконання команд і періодичне створення знімків екрана. Він має можливість сканувати портативні пристрої, підключені до комп’ютера Windows, наприклад смартфони чи планшети, а потім копіюватиме будь-які документи чи файли запису голосу, знайдені на пристрої, на інфікований ПК для перегляду зловмисниками.

Усі зібрані дані стискаються в захищений паролем архів RAR перед викраденням, а локальна копія даних стирається з пам’яті, щоб переконатися, що позаду не залишилося слідів. Цікавою особливістю M2RAT є те, що він використовує розділ спільної пам’яті для зв’язку зі своїм сервером командування та управління (C2, C&C), викрадання даних і прямої передачі зібраних даних на сервер C2, що ускладнює безпеку дослідники для аналізу пам'яті заражених пристроїв.

Використовуючи ці функції, M2RAT полегшує зловмисникам отримання доступу до скомпрометованої системи та надання команд їй, а також збір даних із пристрою. Це робить його сильною загрозою, про яку повинні знати всі користувачі.

Шкідливе програмне забезпечення M2RAT Відео

Порада. Увімкніть звук і дивіться відео в повноекранному режимі .

В тренді

Найбільше переглянуті

Завантаження...