Северокорейские хакеры рассылают JPEG-картинки, способные взломать Windows
Новый северокорейский троянец M2RAT найден в JPEG-изображениях. Для обеспечения скрытности и вывода данных он использует область общей памяти.
Картинка с начинкой
Северокорейская кибершпионская группировка APT37, также известная как RedEyes и ScarCruft, начала активно применять новый вредонос, отличающийся особенной «неуловимостью», не настолько, впрочем, высокой, чтобы его не смогли перехватить.
Вредоносная программа M2RAT области общей системной памяти (доступной для асинхронного чтения и записи более чем одной программе) задействуется для передачи команд и вывода данных. Вредонос также использует стеганографию — сокрытие кода в невинных на первый взгляд изображениях.
В январе 2023 г. APT37 начала рассылать пользователям в Южной Корее фишинговые письма, которые эксплуатировали старую уязвимость в текстовом процессоре Hangul (CVE-2017-8291). Используемый операторами атак эксплойт запускает шелл-код, который скачивает графический файл в формате JPEG, и запускает скрытый в нем вредонос.
Код вредоноса выгружается в систему в виде запускаемого файла lskdjfei.exe, который затем инъектируется в системный процесс explorer.exe.
Для обеспечения постоянства вредонос добавляет новый ключ в разделе Run системного реестра Windows (RyPO), который запускает скрипт PowerShell через системный файл cmd.exe. Этот подход ранее упоминался в анализе деятельноости APT37, который опубликовала «Лаборатория Касперского».
Скриншоты на автомате
Сам по себе M2RAT — это троянец для обеспечения удаленного доступа с функциями кейлоггера, вывода данных, создания скриншотов и запуска команд и развертывания дополнительных модулей, поступающих с удаленного сервера.
Создание скриншотов активируется периодически в автономном режиме. Самой интересной функцией вредоноса, однако, является способность сканировать мобильные устройства (смартфоны и планшеты), подключаемые к компьютеру под управлением Windows.
На них вредонос ищет документы и голосовые записи, и если таковые находятся, M2RAT копирует их на жесткий диск компьютера.
Все данные, которые планируется вывести, вредонос сначала упаковывает в защищенный паролем архив RAR, чья локальная копия потом уничтожается.
Кроме того, вредонос использует область общей памяти для обмена данными с контрольным сервером и вывода данных. Это позволяет минимизировать коммуникации с контрольным сервером и снизить вероятность обнаружения. Это также затрудняет анализ деятельности вредоноса: из памяти зараженного устройства извлечь что-то значимое оказывается очень сложно.
По всей видимости, объектами интереса нынешней кампании стали отдельные люди, а не организации.
M2RAT обнаружили и описали эксперты Центра реагирования на киберинциденты компании AhnLab.
При этом APT37 уже давно находится в прицеле экспертов по кибербезопасности. В ее послужном списке — атаки на организации Евросоюза и на американских журналистов, причем в разных случаях использовались разные вредоносные программы.
«То, что эта вредоносная программа вообще оказалась обнаружена, почти чудо, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Северокорейские кибершпионские инструменты выглядят все более эффективными, и их разработчики делают немало для того, чтобы обеспечить скрытность. Неизвестно, в течение какого времени M2RAT применялся и оставался неизвестным. Это вполне может быть и не очень новая программа».