Sponsorowani przez państwo północnokoreańscy hakerzy po raz kolejny celują w ofiary za pomocą nowej formy złośliwego oprogramowania, które może przejąć urządzenia mobilne i PC.
Według nowego raportu badaczy bezpieczeństwa cybernetycznego AhnLab, grupa znana jako APT37 (AKA RedEyes, Erebus, znana północnokoreańska grupa uważana za silnie powiązaną z rządem), była widziana podczas dystrybucji złośliwego oprogramowania o nazwie “M2RAT” w celu szpiegowania i wydobywania wrażliwych danych z docelowych punktów końcowych.
Kampania, która rozpoczęła się w styczniu 2023 r., rozpoczęła się od wiadomości phishingowej, która dystrybuuje złośliwy załącznik. Załącznik wykorzystuje starą lukę w EPS, śledzoną jako CVE-2017-8291, znalezioną w Hangul, programie do edycji tekstu zwykle używanym w Korei Południowej. Ta interakcja wywołuje pobranie złośliwego załącznika wykonawczego, zapisanego w obrazie JPEG.
Wykorzystując steganografię (metodę ukrywania złośliwego oprogramowania w obrazach i innych niezłośliwych typach plików), napastnicy są w stanie eksfiltrować M2RAT i wstrzyknąć go do pliku explorer.exe.
Sam M2RAT, jak twierdzą badacze, jest stosunkowo podstawowy. Rejestruje wpisy klawiszy, kradnie pliki, może uruchamiać różne komendy i automatycznie robić zrzuty ekranu. Posiada jednak unikalną funkcję, która zwróciła ich uwagę – możliwość skanowania w poszukiwaniu urządzeń przenośnych, takich jak smartfony, podłączonych do skompromitowanego punktu końcowego Windows. Jeśli wykryje takie urządzenie, przeskanuje je i pobierze wszelkie pliki oraz nagrania głosowe na maszynę Windows. Następnie skompresuje je do chronionego hasłem archiwum .RAR i wyśle do napastników. Na koniec skasuje lokalną kopię, aby usunąć wszelkie dowody niewłaściwego postępowania.
Zaobserwowano również, że złośliwe oprogramowanie wykorzystuje sekcję pamięci współdzielonej do komunikacji command & control (C2), a także do kradzieży danych. W ten sposób nie musi przechowywać skradzionych plików w skompromitowanym systemie i pozostawiać żadnych śladów.
APT37 to dość aktywny twórca zagrożeń. Ostatni raz widziano go w grudniu ubiegłego roku, gdy badacze zauważyli, że wykorzystał lukę w Internet Explorerze do ataku na osoby w Korei Południowej.
