Złośliwe oprogramowanie M2RAT ukrywa się w sfabrykowanych obrazach
RedEyes Hacking Group, znana również jako APT37, to grupa zagrożeń, która angażuje się w działania cyberszpiegowskie. Niedawno przyjęli nową taktykę zbierania danych wywiadowczych od wybranych osób za pomocą wyrafinowanego złośliwego oprogramowania o nazwie M2RAT. To złośliwe oprogramowanie ma na celu uniknięcie wykrycia przez oprogramowanie zabezpieczające, a grupa wykorzystuje również steganografię, która ukrywa informacje w pozornie nieszkodliwych plikach lub obrazach. Uważa się, że Korea Północna wspiera tę grupę hakerską i działa w ramach cyberszpiegostwa.
W 2022 roku zaobserwowano, że znana grupa hakerska wykorzystuje luki dnia zerowego w Internet Explorerze za pomocą taktyk socjotechnicznych. Nakłaniali swoje ofiary do otwierania wiadomości e-mail ze złośliwymi załącznikami, które wykorzystywały starą lukę w zabezpieczeniach EPS, zidentyfikowaną jako CVE-2017-8291. Luka ta występowała w edytorze tekstu Hangul powszechnie używanym w Korei Południowej i umożliwiała atakującym uruchamianie kodu powłoki na komputerach ofiar, gdy otwierali obraz JPEG zmodyfikowany przez atakującego. Po uruchomieniu powodowało, że komputery ofiar pobierały i wykonywały szkodliwy ładunek zapisany w obrazie JPEG.
Następnie grupa cyberprzestępców zwróciła uwagę na różne podmioty z siedzibą w Europie, które wdrażały nowy wariant swojego mobilnego backdoora o nazwie „Dolphin” oraz dostosowanego trojana zdalnego dostępu (RAT) o nazwie „Konni”.
Czym jest steganografia - technika stosowana w dystrybucji M2RAT?
Steganografia to technika używana do ukrywania informacji w pozornie normalnych i nieszkodliwych obrazach. Jest używany przez grupę hakerską APT37 do dalszego ukrywania swoich działań podczas dystrybucji złośliwego oprogramowania M2RAT.
Co to jest trojan zdalnego dostępu?
Trojan zdalnego dostępu (RAT) to rodzaj złośliwego oprogramowania, które umożliwia atakującemu przejęcie kontroli nad komputerem ofiary. Atakujący może następnie użyć RAT do uzyskania dostępu do plików, kradzieży danych, a nawet przejęcia kontroli nad systemem. RAT są często wykorzystywane w atakach ukierunkowanych, takich jak te przeprowadzane przez APT37, gdzie są wykorzystywane do uzyskiwania dostępu do wrażliwych informacji lub systemów. RAT mogą być rozpowszechniane za pośrednictwem wiadomości e-mail phishingowych lub innych złośliwych łączy, a po zainstalowaniu w systemie mogą być trudne do wykrycia i usunięcia. RAT są również w stanie monitorować aktywność użytkowników i zbierać dane od ofiar bez ich wiedzy. W związku z tym ważne jest, aby użytkownicy zachowali czujność, jeśli chodzi o cyberbezpieczeństwo i upewnili się, że ich systemy są chronione przed tego typu zagrożeniami.