От Internet Explorer до JPEG: Эволюция Вредоносных Атак APT37
В недавно опубликованном докладе эксперты AhnLab Security (ASEC) описывают новый тип вирусной программы M2RAT, использующий стеганографию. Этот метод начал активно применяться северокорейской хакерской группой APT37 (RedEyes или ScarCruft) для сбора разведывательной информации, нацеленной на конкретных людей.
В 2022 году эта группа взломщиков эксплуатировала уязвимость 0-day в Internet Explorer, распространяя различные вирусы среди выбранных организаций и физических лиц.
Для атак на Евросоюз использовалась обновленная мобильная версия бэкдора Dolphin, в то время как для атак на американских журналистов применялся Goldbackdoor. Также в ход шли специальные RAT-программы, в частности, Konni.
Новый вирус M2RAT, целенаправленно собирающий данные с Windows и мобильных устройств, работает таким образом, что почти не оставляет следов на зараженных компьютерах. Он использует общую память для хранения команд и перехвата данных.
ASEC зафиксировала атаки, начавшиеся в январе 2023 года, когда хакеры отправляли своим целям фишинговые письма с вредоносными вложениями. Эти вложения эксплуатировали старую уязвимость EPS (CVE-2017-8291) в текстовом процессоре Hangul, широко используемом в Южной Корее. Вредоносный код встраивался в изображения JPEG с помощью стеганографии и запускался на компьютерах жертв, внедряясь в explorer.exe.
M2RAT действует как стандартная RAT-программа, выполняя функции кейлогинга, кражи данных, выполнения команд и создания скриншотов рабочего стола. Программа собирает информацию с зараженных устройств и отправляет ее на сервер управления и контроля (C2).
Особенностью M2RAT является возможность сканировать подключенные к Windows устройства, например, смартфоны и планшеты, на наличие документов и аудиозаписей, которые затем копируются на ПК и передаются на C2. Украденные данные перед передачей сжимаются в защищенный паролем RAR-архив.
Важно отметить, что M2RAT уникален тем, что использует общую память для управления, кражи данных и передачи их на C2, минуя хранение данных в компрометированной системе, что значительно усложняет анализ вируса.
Ранее Лаборатория Касперского также упоминала этот вирус в своем отчете 2021 года, подчеркивая, что APT37 продолжает развивать свой арсенал, отдавая предпочтение сложным и трудноотслеживаемым методам кибератак.