Η ομάδα hacking RedEyes (APT37) χρησιμοποιεί το νέο malware «M2RAT» για να στοχεύσει άτομα για συλλογή πληροφοριών.
Η APT37, γνωστή ως “RedEyes” και “ScarCruft”, πιστεύεται ότι είναι μια ομάδα hacking που χρηματοδοτείται από το κράτος της Βόρειας Κορέας για κατασκοπεία στον κυβερνοχώρο.
Το 2022, η ομάδα hacking παρατηρήθηκε να χρησιμοποιεί ευπάθειες zero-day στον Internet Explorer για να διαδώσει ένα ευρύ φάσμα κακόβουλου λογισμικού εναντίον επιλεγμένων στόχων και ατόμων.
Δείτε επίσης: Νέο pig butchering scam υπόσχεται κέρδη από επενδύσεις σε χρυσό
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ενδεικτικά, οι κακόβουλοι φορείς επιτέθηκαν σε οργανισμούς που εδρεύουν στην ΕΕ με μια νέα έκδοση του backdoor για κινητά που ονομάζεται “Dolphin”, χρησιμοποίησαν ένα προσαρμοσμένο RAT γνωστό ως “Konni” και στόχευσαν Αμερικανούς δημοσιογράφους μέσω ενός εξαιρετικά εξατομικευμένου κακόβουλου λογισμικού με την ονομασία “Goldbackdoor”.
Το AhnLab Security Emergency Response Center (ASEC) μόλις δημοσίευσε μια έκθεση που δείχνει πώς η ομάδα RedEyes χρησιμοποιεί τώρα μια νέα παραλλαγή κακόβουλου λογισμικού με την ονομασία “M2RAT” για τις δραστηριότητές της. Αυτός ο ιός χρησιμοποιεί τμήμα κοινής μνήμης για την έκδοση εντολών και την εξαγωγή δεδομένων, αφήνοντας ελάχιστα υπολείμματα στις μολυσμένες συσκευές.
Δείτε επίσης: Η ομάδα Ισραηλινών Jorge Team χειραγωγεί εκλογικές διαδικασίες
Ξεκινά με phishing
Οι κακόβουλες δραστηριότητες της ASEC ήρθαν για πρώτη φορά στο φως τον Ιανουάριο του 2023, όταν η διαβόητη ομάδα hacking έστειλε στα θύματά της μηνύματα ηλεκτρονικού ταχυδρομείου phishing με ένα ύπουλο συνημμένο αρχείο.
Το συνημμένο αρχείο, όταν ανοίξει, εκμεταλλεύεται άμεσα μια γνωστή ευπάθεια ασφαλείας CVE-2017-8291 του δημοφιλούς λογισμικού Hangul Office που βρέθηκε στη Νότια Κορέα. Αυτή η εκμετάλλευση προκαλεί την εκτέλεση shellcode στον υπολογιστή του θύματος και στη συνέχεια θα κατεβάσει και θα εκτελέσει κακόβουλο κώδικα ενσωματωμένο σε μια εικόνα JPEG.
Το M2RAT κλέβει δεδομένα από Windows και τηλέφωνα
Το M2RAT backdoor λειτουργεί ως trojan απομακρυσμένης πρόσβασης, καταγράφοντας τις πληκτρολογήσεις του χρήστη, υποκλέπτοντας εμπιστευτικά δεδομένα, εκτελώντας εντολές στο σύστημα και καταγράφοντας screenshot από τo desktop.
Αυτόματα και κατά διαστήματα, η λειτουργία λήψης screenshot εκτελείται ανεξάρτητα, χωρίς να χρειάζεται εντολή χρήστη.
Δείτε επίσης: NPM: Πακέτα ‘δήθεν’ speed testers έκαναν install crypto miners!
Το κακόβουλο λογισμικό υποστηρίζει τις ακόλουθες εντολές, οι οποίες συλλέγουν πληροφορίες από τη μολυσμένη συσκευή και στη συνέχεια τις στέλνουν πίσω στον διακομιστή C2 για έλεγχο από τους εισβολείς.
Αυτό που κάνει αυτό το κακόβουλο λογισμικό να ξεχωρίζει είναι η ικανότητά του να σαρώνει κινητές συσκευές που συνδέονται με τον υπολογιστή Windows, όπως κινητά τηλέφωνα και tablet.
Εάν γίνει αντιληπτή μια κινητή συσκευή, ο υπολογιστής του επιτιθέμενου θα αξιολογήσει το περιεχόμενό της για τυχόν έγγραφα ή ηχογραφήσεις και στη συνέχεια θα τα αντιγράψει στον υπολογιστή του. Μόλις αποκτηθούν, τα αρχεία αυτά μπορούν να αποσταλούν στον διακομιστή του επιτιθέμενου.
Πριν από την εξαγωγή τους, τα κλεμμένα δεδομένα συμπιέζονται και κρύβονται πίσω από ένα ασφαλές αρχείο RAR που προστατεύεται με κωδικό πρόσβασης. Στη συνέχεια, το τοπικό αντίγραφο των κλεμμένων στοιχείων διαγράφεται από τη μνήμη για να διασφαλιστεί ότι δεν θα μείνουν ίχνη.
Το αξιοσημείωτο μέρος του M2RAT είναι η χρήση ενός τμήματος κοινής μνήμης που επιτρέπει την επικοινωνία με το C2, τη διαρροή δεδομένων προς το C2, ακόμη και την άμεση μετάδοση κλεμμένων πληροφοριών – και όλα αυτά χωρίς να αποθηκεύεται τίποτα τοπικά στο σύστημα που έχει παραβιαστεί.
Η χρήση μιας ενότητας μνήμης στον κεντρικό υπολογιστή για τις παραπάνω λειτουργίες ελαχιστοποιεί την ανταλλαγή με το C2 και κάνει την ανάλυση πιο δύσκολη, καθώς οι ερευνητές ασφαλείας πρέπει να αναλύσουν τη μνήμη των μολυσμένων συσκευών για να ανακτήσουν τις εντολές και τα δεδομένα που χρησιμοποιούνται από το κακόβουλο λογισμικό.
Συνοψίζοντας, η APT37 ανανεώνει συνεχώς την προσαρμοσμένη εργαλειοθήκη του με κακόβουλο λογισμικό που είναι δύσκολο να εντοπιστεί και να εξεταστεί.
Ειδικότερα, αυτό έχει σημασία όταν οι στόχοι είναι ιδιώτες και όχι ομάδες με προηγμένα εργαλεία ανίχνευσης απειλών- η ASEC παρατήρησε πρόσφατα μια τέτοια εκστρατεία.
Πηγή πληροφοριών: bleepingcomputer.com