Logiciel malveillant M2RAT

Par Mezo en Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

Se traduisent par :

Le groupe de menaces APT37 est connu pour utiliser des tactiques et des techniques sophistiquées pour mener des opérations de cyberespionnage au nom du gouvernement nord-coréen. Ce groupe est connu sous les pseudonymes "RedEyes" ou "ScarCruft".

Le groupe APT37 a été observé en train d'utiliser un nouveau malware évasif appelé « M2RAT » pour cibler des individus à des fins de collecte de renseignements. Ce malware utilise la stéganographie, qui consiste à cacher des informations dans des images numériques, pour éviter d'être détecté par un logiciel de sécurité. L'utilisation de la stéganographie par APT37 rend plus difficile pour les analystes de sécurité la détection et l'analyse de leurs logiciels malveillants, ce qui rend plus difficile la prévention ou l'atténuation de leurs attaques. Des détails sur M2RAT et sa campagne menaçante ont été publiés dans un rapport des chercheurs en cybersécurité du AhnLab Security Emergency Response Center (ASEC).

Table des matières

Chaîne d'infection du logiciel malveillant M2RAT

Selon l'ASEC, la campagne menaçante APT37 a commencé en janvier 2023, les pirates lançant une série de cyberattaques qui utilisaient des pièces jointes corrompues pour cibler les victimes. Lorsque les pièces jointes militarisées sont exécutées, elles exploitent une ancienne vulnérabilité EPS (CVE-2017-8291) trouvée dans le traitement de texte Hangul largement utilisé en Corée du Sud. L'exploit déclenche un shellcode à exécuter sur l'ordinateur de la victime, qui télécharge ensuite un mauvais exécutable stocké dans une image JPEG. Ce fichier JPG est modifié par les acteurs de la menace à l'aide de la stéganographie, permettant à l'exécutable M2RAT ("lskdjfei.exe") d'être injecté furtivement dans "explorer.exe". Pour la persistance sur le système, le logiciel malveillant ajoute une nouvelle valeur ("RyPO") à la clé de registre "Run", qui exécute un script PowerShell via "cmd.exe".

Les capacités menaçantes du logiciel malveillant M2RAT

Le logiciel malveillant M2RAT agit comme un cheval de Troie d'accès à distance avec de multiples fonctionnalités nuisibles, telles que l'enregistrement de frappe, le vol de données, l'exécution de commandes et la prise de captures d'écran périodiques. Il a la capacité de rechercher des appareils portables connectés à un ordinateur Windows, comme des smartphones ou des tablettes, et il copiera ensuite tous les documents ou fichiers d'enregistrement vocal trouvés sur l'appareil sur le PC infecté pour que les attaquants les examinent.

Toutes les données collectées sont compressées dans une archive RAR protégée par un mot de passe avant d'être exfiltrées, et la copie locale des données est effacée de la mémoire pour s'assurer qu'il ne reste aucune trace. Une caractéristique intéressante de M2RAT est qu'il utilise une section de mémoire partagée pour la communication avec son serveur Command-and-Control (C2, C&C), l'exfiltration de données et le transfert direct des données collectées vers le serveur C2, ce qui complique la sécurité. chercheurs pour analyser la mémoire des appareils infectés.

En utilisant ces fonctionnalités, M2RAT permet aux attaquants d'accéder plus facilement et de donner des commandes au système compromis, ainsi que d'assembler des données à partir de l'appareil. Cela en fait une menace puissante dont tous les utilisateurs doivent être conscients.