M2RAT 恶意软件
APT37 威胁组织以使用复杂的策略和技术代表朝鲜政府进行网络间谍活动而闻名。该组织以别名“RedEyes”或“ScarCruft”而闻名。
据观察, APT37组织使用一种名为“M2RAT”的新型规避恶意软件来针对个人进行情报收集。该恶意软件使用隐写术,即在数字图像中隐藏信息的做法,以避免被安全软件检测到。 APT37 使用隐写术使安全分析师更难检测和分析他们的恶意软件,这反过来又使预防或减轻他们的攻击更具挑战性。 AhnLab 安全应急响应中心 (ASEC) 的网络安全研究人员在一份报告中发布了有关 M2RAT 及其威胁活动的详细信息。
目录
M2RAT 恶意软件的感染链
据 ASEC 称,具有威胁性的 APT37 活动始于 2023 年 1 月,黑客发起了一系列网络攻击,使用损坏的附件对目标受害者进行攻击。执行武器化附件时,它们会利用在韩国广泛使用的韩文文字处理器中发现的旧 EPS 漏洞 (CVE-2017-8291)。该漏洞会触发 shellcode 在受害者的计算机上运行,然后下载存储在 JPEG 图像中的错误可执行文件。这个 JPG 文件被威胁行为者使用隐写术修改,允许 M2RAT 可执行文件(“lskdjfei.exe”)被偷偷注入“explorer.exe”。为了在系统上持久存在,恶意软件向“运行”注册表项添加了一个新值(“RyPO”),它通过“cmd.exe”执行 PowerShell 脚本。
M2RAT 恶意软件的威胁能力
M2RAT 恶意软件充当具有多种有害功能的远程访问木马,例如键盘记录、数据窃取、命令执行和定期截屏。它能够扫描连接到 Windows 计算机的便携式设备,如智能手机或平板电脑,然后将在设备上找到的任何文档或录音文件复制到受感染的 PC 上,供攻击者查看。
所有收集的数据在被泄露之前都被压缩到一个受密码保护的 RAR 存档中,并且数据的本地副本从内存中被擦除以确保没有留下任何痕迹。 M2RAT 的一个有趣特性是它使用共享内存部分与其命令和控制(C2,C&C)服务器进行通信、数据泄露以及将收集到的数据直接传输到 C2 服务器,这使得安全性变得更加困难研究人员分析受感染设备的内存。
通过利用这些功能,M2RAT 使攻击者更容易获得访问权并向受感染的系统发出命令,以及从设备收集数据。这使其成为所有用户都应注意的强大威胁。
M2RAT 恶意软件视频
提示:把你的声音并观察在全屏模式下的视频。
