خبرکاو:

هکرهای دولتی کره شمالی بار دیگر قربانیان را با شکل جدیدی از بدافزار هدف قرار می دهند که احتمالاً دستگاه های تلفن همراه و رایانه شخصی را ربوده است.

بر اساس گزارش جدیدی از محققان امنیت سایبری AhnLab، گروهی به نام APT37 (AKA RedEyes، Erebus، یک گروه شناخته شده کره شمالی که گمان می رود به شدت وابسته به دولت باشد) در حال توزیع بدافزاری تحت عنوان "M2RAT" برای جاسوسی و استخراج دیده شد. داده های حساس از، نقاط پایانی هدف.

دیگر اخبار

جسد ستاره‌شناس بریتانیایی پس از دو ماه پیدا شد

این کمپین که در ژانویه 2023 آغاز شد، با یک ایمیل فیشینگ که یک پیوست مخرب را توزیع می کرد، شروع شد. این پیوست از یک آسیب‌پذیری قدیمی EPS به‌عنوان CVE-2017-8291 استفاده می‌کند که در Hangul یافت می‌شود، یک برنامه پردازشگر کلمه که معمولاً در کره جنوبی استفاده می‌شود.

با استفاده از استگانوگرافی

این تعامل باعث دانلود یک مدیر مخرب ذخیره شده در یک تصویر JPEG می شود.

با استفاده از استگانوگرافی (روشی برای پنهان کردن بدافزار در تصاویر و سایر انواع فایل های غیر مخرب)، مهاجمان می توانند M2RAT را استخراج کرده و آن را به فایل explorer.exe تزریق کنند.

به گفته محققان، M2RAT خود نسبتاً ابتدایی است. ورودی‌های کلیدی را ثبت می‌کند، فایل‌ها را می‌دزدد، می‌تواند دستورات مختلفی را اجرا کند و به‌طور خودکار از صفحه‌نمایش عکس بگیرد. با این حال، یک ویژگی منحصر به فرد دارد که توجه آنها را به خود جلب کرد - توانایی اسکن دستگاه های قابل حمل، مانند تلفن های هوشمند، متصل به نقطه پایانی ویندوز در معرض خطر. اگر چنین دستگاهی را شناسایی کند، آن را اسکن می کند و هر فایل و صدای ضبط شده را در دستگاه ویندوز دانلود می کند. پس از آن، آن را در یک آرشیو RAR محافظت شده با رمز عبور فشرده می کند و برای مهاجمان ارسال می کند.

در نهایت، کپی محلی را حذف می کند تا هرگونه شواهدی مبنی بر هرگونه تخلف حذف شود.

این بدافزار همچنین با استفاده از بخش حافظه مشترک برای ارتباطات فرمان و کنترل (C2) و همچنین سرقت اطلاعات مشاهده شد. به این ترتیب، لازم نیست فایل های دزدیده شده را در سیستم در معرض خطر ذخیره کند و هیچ ردی از خود باقی بگذارد.

APT37 یک عامل تهدید کاملاً فعال است. آخرین بار در دسامبر سال گذشته مشاهده شد، زمانی که محققان مشاهده کردند که از نقص اینترنت اکسپلورر برای هدف قرار دادن افراد در کره جنوبی سوء استفاده می کند.

از طریق: BleepingComputer (در برگه جدید باز می شود)