خبرکاو:

 15 فوریه 2023  Ravie Lakshmanan Threat Intelligence / Malware

عامل تهدید مرتبط با کره شمالی که با نام APT37 ردیابی می‌شود، در حملاتی که همتای جنوبی خود را هدف قرار می‌دهد، با یک بدافزار جدید به نام M2RAT مرتبط شده است که حاکی از ادامه تکامل ویژگی‌ها و تاکتیک‌های این گروه است.

APT37 که با نام‌های Reaper، RedEyes، Ricochet Chollima و ScarCruft نیز ردیابی می‌شود، برخلاف خوشه‌های تهدید Lazarus و Kimsuky که بخشی از اداره کل شناسایی (RGB) هستند، به وزارت امنیت دولتی کره شمالی (MSS) مرتبط است.

به گفته Mandiant متعلق به گوگل، MSS وظیفه "ضد جاسوسی داخلی و فعالیت های ضد جاسوسی خارج از کشور" را بر عهده دارد و کمپین های حمله APT37 منعکس کننده اولویت های آژانس است. این عملیات ها به طور تاریخی افرادی مانند فراریان و فعالان حقوق بشر را شناسایی کرده است.

این شرکت اطلاعاتی تهدید گفت: "ماموریت اولیه ارزیابی شده APT37 جمع آوری اطلاعات مخفیانه برای حمایت از منافع استراتژیک نظامی، سیاسی و اقتصادی کره شمالی است. "

عامل تهدید به ابزارهای سفارشی‌سازی شده مانند Chinotto، RokRat، BLUELIGHT، GOLDBACKDOOR و Dolphin برای جمع‌آوری اطلاعات حساس از میزبان‌های به خطر افتاده معروف است.

مرکز پاسخ اضطراری امنیتی AhnLab (ASEC) در گزارشی که روز سه شنبه منتشر شد، گفت: «ویژگی اصلی این مورد حمله گروه RedEyes این است که از آسیب‌پذیری Hangul EPS استفاده می‌کند و از تکنیک‌های استگانوگرافی برای توزیع کدهای مخرب استفاده می‌کند.

زنجیره عفونت مشاهده شده در ژانویه 2023 با یک سند هانگول فریبنده شروع می شود، که از یک نقص وصله شده در نرم افزار پردازش کلمه (CVE-2017-8291) برای راه اندازی کد پوسته ای که یک تصویر را از یک سرور راه دور دانلود می کند، استفاده می کند.

دیگر اخبار

دانلود Aiseesoft iPhone Unlocker 1.0.62 – نرم افزار باز کردن قفل آیفون

فایل JPEG از تکنیک‌های استگانوگرافی برای پنهان کردن یک فایل اجرایی قابل حمل استفاده می‌کند که هنگام راه‌اندازی، ایمپلنت M2RAT را دانلود کرده و آن را به فرآیند explorer.exe قانونی تزریق می‌کند.

در حالی که پایداری با استفاده از اصلاح رجیستری ویندوز به دست می آید، M2RAT به عنوان یک درب پشتی با قابلیت ثبت کلید، ضبط صفحه، اجرای فرآیند و سرقت اطلاعات عمل می کند. مانند Dolphin، این نیز برای جذب اطلاعات از دیسک های قابل جابجایی و گوشی های هوشمند متصل طراحی شده است.

بیشتر بخوانید

دانلود RESP.app 2022.5.0 – نرم افزار مدیریت و دسترسی به سرورهای ردیس (Redis)

ASEC گفت: "دفاع در برابر این حملات APT بسیار دشوار است، و به ویژه گروه RedEyes عمدتاً افراد را هدف قرار می دهد، پس تشخیص آسیب برای افراد غیرشرکتی نیز می تواند دشوار باشد."

این اولین بار نیست که CVE-2017-8291 توسط عوامل تهدید کره شمالی مورد استفاده قرار می گیرد. بر اساس گزارش Recorded Future، در اواخر سال 2017، گروه Lazarus مشاهده شد که صرافی‌های ارز دیجیتال کره جنوبی و کاربران را برای استقرار بدافزار Destover هدف قرار داده است.

این مقاله جالب بود؟ ما را در توییتر  و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو