Северокорейские хакеры вновь удивляют исследователей разнообразием вредоносного софта.
В новом отчёте , опубликованном 14 февраля Центром реагирования на чрезвычайные ситуации AhnLab Security ( Для просмотра ссылки Войди
Данные атаки начались в январе 2023 года, когда хакерская группа разослала своим целям фишинговые электронные письма, содержащие вредоносное вложение. Принцип следующий: после открытия вложения в ход идёт старая уязвимость CVE-2017-8291 в текстовом редакторе Hangul, обычно используемом в Южной Корее. Эксплойт запускает Для просмотра ссылки Войди
Сам JPG-файл использует «стеганографию» — технику, которая позволяет скрывать код внутри файлов, чтобы незаметно внедрить исполняемый файл M2RAT («lskdjfei.exe») в систему и ввести его в «explorer.exe».
Вредоносный код, скрывающийся в файле JPEG Для сохранения в системе вредоносная программа добавляет новое значение («RyPO») в раздел реестра «Выполнить» с командами для выполнения сценария PowerShell через «cmd.exe». Эта же команда также была замечена в Для просмотра ссылки Войди
Процесс атаки APT37 через JPEG-файл Бэкдор M2RAT действует как обычный троянец удаленного доступа, производящий кейлоггинг, кражу данных, выполнение команд и создание скриншотов с рабочего стола. Функция создания снимков экрана активируется периодически и работает автономно, не требуя специальной команды оператора.
Особенно интересна способность вредоносного ПО сканировать портативные устройства, подключенные к компьютеру с Windows, такие как смартфоны или планшеты. При обнаружении портативного устройства ПО сканирует его содержимое на наличие документов и файлов с записью голоса, а при обнаружении копирует их на компьютер для отправки злоумышленнику. Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, а локальная копия стирается из памяти для устранения любых следов.
Еще одной интересной особенностью M2RAT является то, что он использует раздел общей памяти для взаимодействия с Для просмотра ссылки Войди
APT37 продолжает обновлять свой пользовательский набор инструментов вредоносными программами, которые сложно обнаружить и проанализировать. Данные инструменты особенно полезны в атаках на небольшие организации, которые не подготовлены для обнаружения и отражения подобных атак.
- Источник новости
- www.securitylab.ru