Северокорейские хакеры, спонсируемые государством, снова нацелены на жертв с помощью новой формы вредоносного ПО, которое может взломать мобильные устройства и ПК.
Согласно новому отчету исследователей кибербезопасности AhnLab, группа, известная как APT37 (также известная как RedEyes, Erebus, известная северокорейская группа, которая, как считается, тесно связана с правительством), была замечена в распространении вредоносного ПО, получившего название «M2RAT», для шпионажа и извлечения конфиденциальные данные из целевых конечных точек.
Кампания, стартовавшая в январе 2023 года, началась с фишингового письма, в котором распространялось вредоносное вложение. Вложение использует старую уязвимость EPS, отслеживаемую как CVE-2017-8291, найденную в Hangul, программе текстового процессора, обычно используемой в Южной Корее.
Использование стеганографии
Это взаимодействие запускает загрузку вредоносного исполнителя, хранящегося в изображении JPEG.
Используя стеганографию (метод сокрытия вредоносных программ в изображениях и других невредоносных типах файлов), злоумышленники могут извлечь M2RAT и внедрить его в файл explorer.exe.
Исследователи говорят, что сама M2RAT относительно проста. Он регистрирует ключевые записи, крадет файлы, может запускать различные команды и автоматически делать снимки экрана. Однако у него есть уникальная функция, которая привлекла их внимание — возможность сканирования портативных устройств, таких как смартфоны, подключенных к скомпрометированной конечной точке Windows. Если он обнаружит такое устройство, он просканирует его и загрузит любые файлы и голосовые записи на компьютер с Windows. После этого сжимает его в защищенный паролем архив .RAR и отправляет злоумышленникам.
Наконец, он удалит локальную копию, чтобы удалить любые доказательства каких-либо нарушений.
Вредоносная программа также была замечена при использовании раздела общей памяти для управления и контроля (C2), а также при краже данных. Таким образом, ему не нужно хранить украденные файлы в скомпрометированной системе и оставлять какие-либо следы.
APT37 — довольно активный субъект угроз. В последний раз его видели в декабре прошлого года, когда исследователи увидели, что он злоупотребляет уязвимостью в Internet Explorer для нападения на жителей Южной Кореи.
С помощью: Пищит Компьютер (откроется в новой вкладке)
