M2RAT-Malware
Die APT37-Bedrohungsgruppe ist dafür bekannt, ausgeklügelte Taktiken und Techniken einzusetzen, um im Auftrag der nordkoreanischen Regierung Cyberspionageoperationen durchzuführen. Diese Gruppe ist unter den Aliasnamen „RedEyes“ oder „ScarCruft“ bekannt.
Die Gruppe APT37 wurde beobachtet, wie sie eine neue ausweichende Malware namens „M2RAT“ einsetzte, um Einzelpersonen zum Sammeln von Informationen anzugreifen. Diese Malware verwendet Steganografie, bei der Informationen in digitalen Bildern versteckt werden, um eine Erkennung durch Sicherheitssoftware zu vermeiden. Die Verwendung von Steganographie durch APT37 erschwert es Sicherheitsanalysten, ihre Malware zu erkennen und zu analysieren, was es wiederum schwieriger macht, ihre Angriffe zu verhindern oder einzudämmen. Details über M2RAT und seine Drohkampagne wurden in einem Bericht der Cybersicherheitsforscher des AhnLab Security Emergency Response Center (ASEC) veröffentlicht.
Inhaltsverzeichnis
Infektionskette der M2RAT-Malware
Laut ASEC begann die bedrohliche APT37-Kampagne im Januar 2023, als die Hacker eine Reihe von Cyberangriffen starteten, bei denen beschädigte Anhänge verwendet wurden, um Opfer anzugreifen. Wenn die bewaffneten Anhänge ausgeführt werden, nutzen sie eine alte EPS-Schwachstelle (CVE-2017-8291) aus, die in der in Südkorea weit verbreiteten Hangul-Textverarbeitung gefunden wurde. Der Exploit löst einen Shellcode aus, der auf dem Computer des Opfers ausgeführt wird, der dann eine fehlerhafte ausführbare Datei herunterlädt, die in einem JPEG-Bild gespeichert ist. Diese JPG-Datei wird von den Bedrohungsakteuren mithilfe von Steganografie modifiziert, sodass die ausführbare M2RAT-Datei („lskdjfei.exe“) heimlich in „explorer.exe“ eingeschleust werden kann. Für die Persistenz auf dem System fügt die Malware dem Registrierungsschlüssel „Run“ einen neuen Wert („RyPO“) hinzu, der ein PowerShell-Skript über „cmd.exe“ ausführt.
Die Bedrohungsfähigkeiten der M2RAT-Malware
Die M2RAT-Malware fungiert als Remote-Access-Trojaner mit mehreren schädlichen Funktionen, wie z. B. Keylogging, Datendiebstahl, Befehlsausführung und regelmäßige Screenshots. Es kann nach tragbaren Geräten suchen, die mit einem Windows-Computer verbunden sind, wie Smartphones oder Tablets, und kopiert dann alle auf dem Gerät gefundenen Dokumente oder Sprachaufzeichnungsdateien auf den infizierten PC, damit die Angreifer sie überprüfen können.
Alle gesammelten Daten werden vor der Exfiltration in ein passwortgeschütztes RAR-Archiv komprimiert, und die lokale Kopie der Daten wird aus dem Speicher gelöscht, um sicherzustellen, dass keine Spuren zurückbleiben. Ein interessantes Merkmal von M2RAT ist, dass es einen gemeinsam genutzten Speicherabschnitt für die Kommunikation mit seinem Command-and-Control (C2, C&C)-Server, die Datenexfiltration und die direkte Übertragung gesammelter Daten an den C2-Server verwendet, was die Sicherheit erschwert Forscher, um den Speicher infizierter Geräte zu analysieren.
Durch die Nutzung dieser Funktionen erleichtert M2RAT es Angreifern, sich Zugang zu dem kompromittierten System zu verschaffen und ihm Befehle zu erteilen sowie Daten vom Gerät zusammenzustellen. Dies macht es zu einer starken Bedrohung, derer sich alle Benutzer bewusst sein sollten.
M2RAT-Malware Video
Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .
