Threat Database Malware M2RATマルウェア

M2RATマルウェア

APT37 脅威グループは、高度な戦術と技術を使用して、北朝鮮政府に代わってサイバースパイ活動を行うことで知られています。このグループは、別名「RedEyes」または「ScarCruft」で知られています。

グループAPT37 は、「M2RAT」と呼ばれる新しい回避型マルウェアを使用して、情報収集のために個人を標的にしていることが観察されています。このマルウェアは、デジタル画像内に情報を隠す方法であるステガノグラフィを使用して、セキュリティ ソフトウェアによる検出を回避します。 APT37 のステガノグラフィーの使用により、セキュリティ アナリストによるマルウェアの検出と分析がより困難になり、その結果、攻撃の防止または緩和がより困難になります。 M2RAT とその脅迫キャンペーンに関する詳細は、AhnLab Security Emergency Response Center (ASEC) のサイバーセキュリティ研究者によるレポートで公開されました。

M2RAT マルウェアの感染チェーン

ASEC によると、脅迫的な APT37 キャンペーンは 2023 年 1 月に始まり、ハッカーは破損した添付ファイルを使用して被害者を標的とする一連のサイバー攻撃を開始しました。武器化された添付ファイルが実行されると、韓国で広く使用されているハングル ワープロに見られる古い EPS の脆弱性 (CVE-2017-8291) が悪用されます。このエクスプロイトは、シェルコードを被害者のコンピューターで実行するようにトリガーし、その後、JPEG 画像内に保存された悪意のある実行可能ファイルをダウンロードします。この JPG ファイルは、ステガノグラフィを使用して攻撃者によって変更され、M2RAT 実行可能ファイル (「lskdjfei.exe」) が密かに「explorer.exe」に挿入される可能性があります。システム上で永続化するために、マルウェアは新しい値 (「RyPO」) を「Run」レジストリ キーに追加し、「cmd.exe」を介して PowerShell スクリプトを実行します。

M2RAT マルウェアの脅威的な機能

M2RAT マルウェアは、キーロギング、データ盗難、コマンド実行、定期的なスクリーンショットの撮影など、複数の有害な機能を備えたリモート アクセス トロイの木馬として機能します。スマートフォンやタブレットなど、Windows コンピューターに接続されたポータブル デバイスをスキャンする機能があり、デバイスで見つかったドキュメントや音声録音ファイルを感染した PC にコピーして、攻撃者が確認できるようにします。

収集されたすべてのデータは、抽出される前にパスワードで保護された RAR アーカイブに圧縮され、データのローカル コピーはメモリから消去され、痕跡が残らないようにします。 M2RAT の興味深い特徴は、コマンド アンド コントロール (C2、C&C) サーバーとの通信、データの引き出し、および収集したデータの C2 サーバーへの直接転送に共有メモリ セクションを使用することです。感染したデバイスのメモリを分析する研究者。

これらの機能を利用することで、M2RAT は、攻撃者が侵害されたシステムにアクセスしてコマンドを与えたり、デバイスからデータを収集したりすることを容易にします。これにより、すべてのユーザーが認識すべき強力な脅威になります。

M2RATマルウェアビデオ

ヒント:サウンドをオンにて、フルスクリーンモードでビデオを視聴します。

トレンド

最も見られました

読み込んでいます...