M2RAT 惡意軟件
APT37 威脅組織以使用複雜的策略和技術代表朝鮮政府進行網絡間諜活動而聞名。該組織以別名“RedEyes”或“ScarCruft”而聞名。
據觀察, APT37組織使用一種名為“M2RAT”的新型規避惡意軟件來針對個人進行情報收集。該惡意軟件使用隱寫術,即在數字圖像中隱藏信息的做法,以避免被安全軟件檢測到。 APT37 使用隱寫術使安全分析師更難檢測和分析他們的惡意軟件,這反過來又使預防或減輕他們的攻擊更具挑戰性。 AhnLab 安全應急響應中心 (ASEC) 的網絡安全研究人員在一份報告中發布了有關 M2RAT 及其威脅活動的詳細信息。
目錄
M2RAT 惡意軟件的感染鏈
據 ASEC 稱,具有威脅性的 APT37 活動始於 2023 年 1 月,黑客發起了一系列網絡攻擊,使用損壞的附件對目標受害者進行攻擊。執行武器化附件時,它們會利用在韓國廣泛使用的韓文文字處理器中發現的舊 EPS 漏洞 (CVE-2017-8291)。該漏洞會觸發 shellcode 在受害者的計算機上運行,然後下載存儲在 JPEG 圖像中的錯誤可執行文件。這個 JPG 文件被威脅行為者使用隱寫術修改,允許 M2RAT 可執行文件(“lskdjfei.exe”)被偷偷注入“explorer.exe”。為了在系統上持久存在,惡意軟件向“運行”註冊表項添加了一個新值(“RyPO”),它通過“cmd.exe”執行 PowerShell 腳本。
M2RAT 惡意軟件的威脅能力
M2RAT 惡意軟件充當具有多種有害功能的遠程訪問木馬,例如鍵盤記錄、數據竊取、命令執行和定期截屏。它能夠掃描連接到 Windows 計算機的便攜式設備,如智能手機或平板電腦,然後將在設備上找到的任何文檔或錄音文件複製到受感染的 PC 上,供攻擊者查看。
所有收集的數據在被洩露之前都被壓縮到一個受密碼保護的 RAR 存檔中,並且數據的本地副本從內存中被擦除以確保沒有留下任何痕跡。 M2RAT 的一個有趣特性是它使用共享內存部分與其命令和控制(C2,C&C)服務器進行通信、數據洩露以及將收集到的數據直接傳輸到 C2 服務器,這使得安全性變得更加困難研究人員分析受感染設備的內存。
通過利用這些功能,M2RAT 使攻擊者更容易獲得訪問權並向受感染的系統發出命令,以及從設備收集數據。這使其成為所有用戶都應注意的強大威脅。
M2RAT 惡意軟件視頻
提示:把你的声音并观察在全屏模式下的视频。
