Devlet destekli Kuzey Koreli bilgisayar korsanları, muhtemelen mobil ve PC cihazlarını ele geçirebilecek yeni bir kötü amaçlı yazılım biçimiyle kurbanları bir kez daha hedefliyor.
Siber güvenlik araştırmacıları AhnLab’ın yeni bir raporuna göre, APT37 (AKA RedEyes, Erebus, hükümete güçlü bir şekilde bağlı olduğuna inanılan bilinen bir Kuzey Koreli grup) olarak bilinen bir grubun casusluk yapmak ve ayıklamak için “M2RAT” adlı kötü amaçlı yazılım dağıttığı görüldü. hassas veriler, hedef uç noktalar.
Ocak 2023’te başlayan kampanya, kötü amaçlı bir ek dağıtan bir kimlik avı e-postasıyla başladı. Ek, genellikle Güney Kore’de kullanılan bir kelime işlemci programı olan Hangul’da bulunan ve CVE-2017-8291 olarak izlenen eski bir EPS güvenlik açığından yararlanıyor.
steganografi kullanma
Bu etkileşim, bir JPEG görüntüsünde saklanan kötü niyetli bir yöneticinin indirilmesini tetikler.
Saldırganlar, steganografiyi (resimlerde ve diğer kötü amaçlı olmayan dosya türlerinde kötü amaçlı yazılımları gizleme yöntemi) kullanarak M2RAT’ı dışarı sızdırabilir ve onu explorer.exe dosyasına enjekte edebilir.
Araştırmacılar, M2RAT’ın kendisinin nispeten basit olduğunu söylüyor. Anahtar girişlerini günlüğe kaydeder, dosyaları çalar, çeşitli komutları çalıştırabilir ve otomatik olarak ekran görüntüleri alabilir. Ancak, dikkatlerini çeken benzersiz bir özelliği var – güvenliği ihlal edilmiş Windows uç noktasına bağlı akıllı telefonlar gibi taşınabilir aygıtları tarama yeteneği. Böyle bir cihaz algılarsa, onu tarar ve tüm dosyaları ve ses kayıtlarını Windows makinesine indirir. Daha sonra onu şifre korumalı bir .RAR arşivine sıkıştıracak ve saldırganlara gönderecektir.
Son olarak, herhangi bir suiistimale dair kanıtları ortadan kaldırmak için yerel kopyayı siler.
Kötü amaçlı yazılımın, komut ve kontrol (C2) iletişimi ve veri hırsızlığı için paylaşılan bir bellek bölümü kullandığı da gözlemlendi. Bu şekilde, çalınan dosyaları güvenliği ihlal edilmiş sistemde depolamak ve herhangi bir iz bırakmak zorunda kalmaz.
APT37 oldukça aktif bir tehdit aktörüdür. En son geçen yıl Aralık ayında, araştırmacılar Internet Explorer’daki bir kusuru Güney Kore’deki kişileri hedef almak için kötüye kullandığını gördüklerinde görüldü.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
