[ad_1]
国家资助的朝鲜黑客再次以一种可能劫持移动和 PC 设备的新型恶意软件攻击受害者。
根据网络安全研究人员 AhnLab 的一份新报告,一个名为 APT37(又名 RedEyes、Erebus,一个被认为与政府有密切关联的知名朝鲜组织)的组织被发现分发名为“M2RAT”的恶意软件以进行监视和提取来自目标端点的敏感数据。
该活动于 2023 年 1 月开始,以分发恶意附件的网络钓鱼电子邮件开始。 该附件利用了一个旧的 EPS 漏洞,该漏洞被追踪为 CVE-2017-8291,在韩国常用的文字处理程序 Hangul 中发现。
使用隐写术
此交互触发恶意执行程序的下载,存储在 JPEG 图像中。
使用隐写术(一种在图片和其他非恶意文件类型中隐藏恶意软件的方法),攻击者能够渗出 M2RAT 并将其注入到 explorer.exe 文件中。
研究人员说,M2RAT 本身是相对基础的。 它记录关键条目、窃取文件、可以运行各种命令并自动截取屏幕截图。 然而,它有一个独特的功能引起了他们的注意——能够扫描连接到受感染 Windows 端点的便携式设备,例如智能手机。 如果它检测到这样的设备,它将对其进行扫描,并将任何文件和录音下载到 Windows 机器上。 之后,它会将其压缩成受密码保护的 .RAR 存档并发送给攻击者。
最后,它将删除本地副本以删除任何不当行为的证据。
还观察到该恶意软件使用共享内存部分进行命令和控制 (C2) 通信以及数据窃取。 这样,它就不必将被盗文件存储在受感染的系统中并留下任何痕迹。
APT37 是一个非常活跃的威胁参与者。 它最后一次出现是在去年 12 月,当时研究人员发现它滥用 Internet Explorer 中的一个缺陷来针对韩国的个人。
通过: BleepingComputer (在新标签页中打开)
[ad_2]
Source link
