Nhóm mối đe dọa APT37 sử dụng phần mềm độc hại 'M2RAT' mới và kỹ thuật ghi dữ liệu ẩn để nhắm mục tiêu các cá nhân để thu thập thông tin tình báo.
APT37, còn được gọi là 'RedEyes' hoặc 'ScarCruft,' là một nhóm tấn công gián điệp mạng của Bắc Triều Tiên được cho là do nhà nước hỗ trợ.
Vào năm 2022, nhóm tin tặc được phát hiện đang khai thác Internet Explorer zero-day và phân phối nhiều loại phần mềm độc hại chống lại các thực thể và cá nhân được nhắm mục tiêu.
Ví dụ: các tác nhân đe dọa đã nhắm mục tiêu vào các tổ chức có trụ sở tại EU bằng một phiên bản cửa hậu di động mới có tên ' Dolphin ,' đã triển khai một RAT (trojan truy cập từ xa) tùy chỉnh có tên ' Konni ' và nhắm mục tiêu các nhà báo Hoa Kỳ bằng phần mềm độc hại có khả năng tùy chỉnh cao có tên ' Cửa hậu vàng .'
Trong một báo cáo mới được phát hành hôm nay bởi Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC), các nhà nghiên cứu giải thích cách APT37 hiện đang sử dụng một dòng phần mềm độc hại mới có tên 'M2RAT' sử dụng phần bộ nhớ dùng chung cho các lệnh và đánh cắp dữ liệu và để lại rất ít dấu vết hoạt động trên máy bị nhiễm
Các cuộc tấn công gần đây mà ASEC quan sát được bắt đầu vào tháng 1 năm 2023, khi nhóm tin tặc gửi email lừa đảo có chứa tệp đính kèm độc hại đến mục tiêu của chúng.
Việc mở tệp đính kèm sẽ kích hoạt việc khai thác lỗ hổng EPS cũ ( CVE-2017-8291 ) trong trình xử lý văn bản Hangul thường được sử dụng ở Hàn Quốc. Việc khai thác sẽ khiến shellcode chạy trên máy tính của nạn nhân tải xuống và thực thi một phần mềm độc hại được lưu trữ trong hình ảnh JPEG.
Tệp hình ảnh JPG này sử dụng steganography, một kỹ thuật cho phép ẩn mã bên trong các tệp, để lén đưa tệp thực thi M2RAT ("lskdjfei.exe") vào hệ thống và đưa nó vào "explorer.exe".
Ẩn mã phần mềm độc hại trong tệp JPEG
Để duy trì hệ thống, phần mềm độc hại thêm một giá trị mới ("RyPO") trong khóa Registry "Run", với các lệnh để thực thi tập lệnh PowerShell thông qua "cmd.exe." Lệnh tương tự này cũng được thấy trong một báo cáo năm 2021 của Kaspersky về APT37.
Luồng tấn công APT37
M2RAT đánh cắp từ Windows và điện thoại
Cửa hậu M2RAT hoạt động như một trojan truy cập từ xa cơ bản thực hiện ghi nhật ký bàn phím, đánh cắp dữ liệu, thực thi lệnh và chụp ảnh màn hình từ màn hình.
Chức năng chụp ảnh màn hình được kích hoạt định kỳ và hoạt động tự động mà không yêu cầu lệnh của người vận hành cụ thể.
Phần mềm độc hại hỗ trợ các lệnh sau, thu thập thông tin từ thiết bị bị nhiễm và sau đó gửi lại cho máy chủ C2 để kẻ tấn công xem xét.
Các lệnh CMD được hỗ trợ
Khả năng quét các thiết bị di động được kết nối với máy tính Windows của phần mềm độc hại, chẳng hạn như điện thoại thông minh hoặc máy tính bảng, đặc biệt thú vị.
Nếu một thiết bị di động được phát hiện, nó sẽ quét nội dung của thiết bị để tìm tài liệu và tệp ghi âm giọng nói, nếu tìm thấy, sao chép chúng vào PC để trích xuất sang máy chủ của kẻ tấn công.
Trước khi trích xuất, dữ liệu bị đánh cắp được nén trong kho lưu trữ RAR được bảo vệ bằng mật khẩu và bản sao cục bộ sẽ bị xóa khỏi bộ nhớ để loại bỏ mọi dấu vết.
Một tính năng thú vị khác của M2RAT là nó sử dụng phần bộ nhớ dùng chung để giao tiếp lệnh và kiểm soát (C2), trích xuất dữ liệu và chuyển trực tiếp dữ liệu bị đánh cắp sang C2 mà không lưu trữ chúng trong hệ thống bị xâm nhập.
Việc sử dụng một phần bộ nhớ trên máy chủ cho các chức năng trên sẽ giảm thiểu việc trao đổi với C2 và khiến việc phân tích trở nên khó khăn hơn, vì các nhà nghiên cứu bảo mật phải phân tích bộ nhớ của các thiết bị bị nhiễm để truy xuất các lệnh và dữ liệu mà phần mềm độc hại sử dụng.
Tóm lại, APT37 tiếp tục làm mới bộ công cụ tùy chỉnh của mình với phần mềm độc hại khó phát hiện và phân tích.
Điều này đặc biệt đúng khi mục tiêu là các cá nhân, như trong chiến dịch gần đây được ASEC phát hiện, những người thiếu các công cụ phát hiện mối đe dọa tinh vi của các tổ chức lớn hơn.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.