12 Апреля 2023 08:26 12 Апр 2023 08:26 |

Поделиться

Северокорейские хакеры рассылают JPEG-картинки, способные взломать Windows

Картинка с начинкой

Северокорейская кибершпионская группировка APT37, также известная как RedEyes и ScarCruft, начала активно применять новый вредонос, отличающийся особенной «неуловимостью», не настолько, впрочем, высокой, чтобы его не смогли перехватить.

Вредоносная программа M2RAT области общей системной памяти (доступной для асинхронного чтения и записи более чем одной программе) задействуется для передачи команд и вывода данных. Вредонос также использует стеганографию — сокрытие кода в невинных на первый взгляд изображениях.

В январе 2023 г. APT37 начала рассылать пользователям в Южной Корее фишинговые письма, которые эксплуатировали старую уязвимость в текстовом процессоре Hangul (CVE-2017-8291). Используемый операторами атак эксплойт запускает шелл-код, который скачивает графический файл в формате JPEG, и запускает скрытый в нем вредонос.

Код вредоноса выгружается в систему в виде запускаемого файла lskdjfei.exe, который затем инъектируется в системный процесс explorer.exe.

Для обеспечения постоянства вредонос добавляет новый ключ в разделе Run системного реестра Windows (RyPO), который запускает скрипт PowerShell через системный файл cmd.exe. Этот подход ранее упоминался в анализе деятельноости APT37, который опубликовала «Лаборатория Касперского».

Скриншоты на автомате

Сам по себе M2RAT — это троянец для обеспечения удаленного доступа с функциями кейлоггера, вывода данных, создания скриншотов и запуска команд и развертывания дополнительных модулей, поступающих с удаленного сервера.

Создание скриншотов активируется периодически в автономном режиме. Самой интересной функцией вредоноса, однако, является способность сканировать мобильные устройства (смартфоны и планшеты), подключаемые к компьютеру под управлением Windows.

На них вредонос ищет документы и голосовые записи, и если таковые находятся, M2RAT копирует их на жесткий диск компьютера.

Все данные, которые планируется вывести, вредонос сначала упаковывает в защищенный паролем архив RAR, чья локальная копия потом уничтожается.

Кроме того, вредонос использует область общей памяти для обмена данными с контрольным сервером и вывода данных. Это позволяет минимизировать коммуникации с контрольным сервером и снизить вероятность обнаружения. Это также затрудняет анализ деятельности вредоноса: из памяти зараженного устройства извлечь что-то значимое оказывается очень сложно.

По всей видимости, объектами интереса нынешней кампании стали отдельные люди, а не организации.

M2RAT обнаружили и описали эксперты Центра реагирования на киберинциденты компании AhnLab.

При этом APT37 уже давно находится в прицеле экспертов по кибербезопасности. В ее послужном списке — атаки на организации Евросоюза и на американских журналистов, причем в разных случаях использовались разные вредоносные программы.

«То, что эта вредоносная программа вообще оказалась обнаружена, почти чудо, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Северокорейские кибершпионские инструменты выглядят все более эффективными, и их разработчики делают немало для того, чтобы обеспечить скрытность. Неизвестно, в течение какого времени M2RAT применялся и оставался неизвестным. Это вполне может быть и не очень новая программа».

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка