Северокорейские хакеры нацелены на телефоны и устройства Windows с новым вредоносным ПО
16 февраля 2023 г.Спонсируемые государством северокорейские хакеры снова нацелены на жертв с помощью новой формы вредоносного ПО, которое может возможно, взлом мобильных устройств и ПК.
Согласно новому отчету исследователей кибербезопасности AhnLab, группа, известная как APT37 (она же RedEyes, Erebus, известная северокорейская группа, которая, как считается, тесно связана с правительством), было замечено распространение вредоносного ПО под названием «M2RAT» для слежки и извлечения конфиденциальных данных из целевых конечных точек. .
Кампания, стартовавшая в январе 2023 года, началась с фишинговое электронное письмо, распространяющее вредоносное вложение. Вложение использует старую уязвимость EPS, отслеживаемую как CVE-2017-8291, найденную в Hangul, программе текстового процессора, обычно используемой в Южной Корее.
Использование стеганографии
Это взаимодействие вызывает загрузку вредоносного исполнителя, сохраненного в изображении JPEG.
Используя стеганографию (метод сокрытия вредоносных программ в изображениях и других невредоносных типах файлов), злоумышленники могут извлечь M2RAT и внедрить его в файл explorer.exe.
По словам исследователей, сам M2RAT относительно прост. Он регистрирует ключевые записи, крадет файлы, может запускать различные команды и автоматически делать снимки экрана. Однако у него есть уникальная функция, которая привлекла их внимание — возможность сканирования портативных устройств, таких как смартфоны, подключенных к скомпрометированной конечной точке Windows. Если он обнаружит такое устройство, он просканирует его и загрузит любые файлы и голосовые записи на компьютер с Windows. После этого сжимает его в защищенный паролем архив .RAR и отправляет злоумышленникам.
Наконец, он удалит локальную копию, чтобы удалить любые доказательства каких-либо правонарушений.
Вредоносное ПО также использовало раздел общей памяти для управления и контроля (C2), а также кражу данных. Таким образом, ему не нужно хранить украденные файлы в скомпрометированной системе и оставлять какие-либо следы.
APT37 — довольно активный субъект угроз. В последний раз его видели в декабре прошлого года, когда исследователи обнаружили, что он злоупотребляет уязвимостью в Internet Explorer для нацеливания на жителей Южной Кореи.
- Это лучшие брандмауэры на данный момент
Через: BleepingComputer
Оригинал