Phần mềm độc hại M2RAT

Đến năm Mezo năm Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Dịch sang:

Nhóm đe dọa APT37 được biết đến với việc sử dụng các chiến thuật và kỹ thuật tinh vi để tiến hành các hoạt động gián điệp mạng thay mặt cho chính phủ Bắc Triều Tiên. Nhóm này được biết đến với bí danh 'RedEyes' hoặc 'ScarCruft.'

Nhóm APT37 đã bị phát hiện sử dụng một phần mềm độc hại lẩn tránh mới có tên 'M2RAT' để nhắm mục tiêu các cá nhân nhằm thu thập thông tin tình báo. Phần mềm độc hại này sử dụng steganography, đây là phương pháp ẩn thông tin trong các hình ảnh kỹ thuật số, để tránh bị phần mềm bảo mật phát hiện. Việc APT37 sử dụng kỹ thuật lưu trữ dữ liệu khiến các nhà phân tích bảo mật gặp khó khăn hơn trong việc phát hiện và phân tích phần mềm độc hại của họ, điều này khiến việc ngăn chặn hoặc giảm thiểu các cuộc tấn công của họ trở nên khó khăn hơn. Thông tin chi tiết về M2RAT và chiến dịch đe dọa của nó đã được công bố trong một báo cáo của các nhà nghiên cứu an ninh mạng tại Trung tâm Ứng phó Khẩn cấp An ninh AhnLab (ASEC).

Mục lục

Chuỗi lây nhiễm của phần mềm độc hại M2RAT

Theo ASEC, chiến dịch đe dọa APT37 bắt đầu vào tháng 1 năm 2023, với việc tin tặc thực hiện một loạt cuộc tấn công mạng sử dụng các tệp đính kèm bị hỏng để nhắm mục tiêu vào nạn nhân. Khi các tệp đính kèm vũ khí hóa được thực thi, chúng sẽ khai thác lỗ hổng EPS cũ (CVE-2017-8291) được tìm thấy trong trình xử lý văn bản Hangul được sử dụng rộng rãi ở Hàn Quốc. Việc khai thác sẽ kích hoạt một shellcode chạy trên máy tính của nạn nhân, sau đó máy tính này sẽ tải xuống một tệp thực thi xấu được lưu trữ bên trong một hình ảnh JPEG. Tệp JPG này được sửa đổi bởi các tác nhân đe dọa bằng cách sử dụng kỹ thuật ghi ảnh, cho phép tệp thực thi M2RAT ('lskdjfei.exe') được lén đưa vào 'explorer.exe.' Để duy trì hệ thống, phần mềm độc hại thêm một giá trị mới ('RyPO') vào khóa Registry 'Run', khóa này thực thi tập lệnh PowerShell thông qua 'cmd.exe.'

Khả năng đe dọa của phần mềm độc hại M2RAT

Phần mềm độc hại M2RAT hoạt động như một Trojan truy cập từ xa với nhiều tính năng có hại, chẳng hạn như ghi nhật ký bàn phím, đánh cắp dữ liệu, thực thi lệnh và chụp ảnh màn hình định kỳ. Nó có khả năng quét các thiết bị di động được kết nối với máy tính Windows, như điện thoại thông minh hoặc máy tính bảng, sau đó nó sẽ sao chép mọi tài liệu hoặc tệp ghi âm giọng nói được tìm thấy trên thiết bị vào PC bị nhiễm để kẻ tấn công xem xét.

Tất cả dữ liệu đã thu thập được nén vào kho lưu trữ RAR được bảo vệ bằng mật khẩu trước khi bị trích xuất và bản sao dữ liệu cục bộ sẽ bị xóa khỏi bộ nhớ để đảm bảo không để lại dấu vết. Một tính năng thú vị của M2RAT là nó sử dụng phần bộ nhớ dùng chung để liên lạc với máy chủ Command-and-Control (C2, C&C), trích xuất dữ liệu và truyền trực tiếp dữ liệu đã thu thập đến máy chủ C2, gây khó khăn hơn cho việc bảo mật. các nhà nghiên cứu để phân tích bộ nhớ của các thiết bị bị nhiễm.

Bằng cách sử dụng các tính năng này, M2RAT giúp kẻ tấn công dễ dàng truy cập và đưa ra lệnh cho hệ thống bị xâm nhập, cũng như tập hợp dữ liệu từ thiết bị. Điều này làm cho nó trở thành một mối đe dọa tiềm tàng mà tất cả người dùng nên biết.