Grup ancaman APT37 menggunakan malware dan steganografi ‘M2RAT’ baru yang mengelak untuk menargetkan individu untuk pengumpulan intelijen.
APT37, juga dikenal sebagai ‘RedEyes’ atau ‘ScarCruft,’ adalah kelompok peretas spionase dunia maya Korea Utara yang diyakini didukung oleh negara.
Pada tahun 2022, grup peretasan terlihat mengeksploitasi Internet Explorer nol-hari dan mendistribusikan bermacam-macam malware terhadap entitas dan individu yang ditargetkan.
Misalnya, pelaku ancaman menargetkan organisasi yang berbasis di UE dengan versi baru pintu belakang seluler mereka bernama ‘Lumba-lumba,’ menerapkan RAT khusus (trojan akses jarak jauh) yang disebut ‘Konni,’ dan menargetkan jurnalis AS dengan malware yang sangat dapat disesuaikan bernama ‘Goldbackdoor.’
Di sebuah laporan baru dirilis hari ini oleh Pusat Tanggap Darurat Keamanan AhnLab (ASEC), para peneliti menjelaskan bagaimana APT37 sekarang menggunakan jenis malware baru yang disebut ‘M2RAT’ yang menggunakan bagian memori bersama untuk perintah dan eksfiltrasi data dan meninggalkan sangat sedikit jejak operasional pada mesin yang terinfeksi.
Dimulai dengan phishing
Serangan baru-baru ini yang diamati oleh ASEC dimulai pada Januari 2023, ketika grup peretasan mengirim email phishing yang berisi lampiran berbahaya ke target mereka.
Membuka lampiran memicu eksploitasi kerentanan EPS lama (CVE-2017-8291) dalam pengolah kata Hangul yang biasa digunakan di Korea Selatan. Eksploitasi akan menyebabkan kode shell berjalan di komputer korban yang mengunduh dan mengeksekusi eksekusi berbahaya yang disimpan dalam gambar JPEG.
File gambar JPG ini menggunakan steganografi, sebuah teknik yang memungkinkan menyembunyikan kode di dalam file, untuk secara diam-diam memperkenalkan M2RAT yang dapat dieksekusi (“lskdjfei.exe”) ke dalam sistem dan memasukkannya ke dalam “explorer.exe.”
Untuk kegigihan pada sistem, malware menambahkan nilai baru (“RyPO”) di kunci Registri “Jalankan”, dengan perintah untuk menjalankan skrip PowerShell melalui “cmd.exe.” Perintah yang sama ini juga terlihat di a Laporan Kaspersky 2021 tentang APT37.
M2RAT mencuri dari Windows dan ponsel
Backdoor M2RAT bertindak sebagai trojan akses jarak jauh dasar yang melakukan keylogging, pencurian data, eksekusi perintah, dan pengambilan screenshot dari desktop.
Fungsi tangkapan layar diaktifkan secara berkala dan bekerja secara mandiri tanpa memerlukan perintah operator tertentu.
Malware mendukung perintah berikut, yang mengumpulkan informasi dari perangkat yang terinfeksi dan kemudian mengirimkannya kembali ke server C2 untuk ditinjau oleh penyerang.
Kemampuan malware untuk memindai perangkat portabel yang terhubung ke komputer Windows, seperti smartphone atau tablet, sangat menarik.
Jika perangkat portabel terdeteksi, itu akan memindai konten perangkat untuk dokumen dan file rekaman suara dan, jika ditemukan, menyalinnya ke PC untuk dieksfiltrasi ke server penyerang.
Sebelum eksfiltrasi, data yang dicuri dikompresi dalam arsip RAR yang dilindungi kata sandi, dan salinan lokal dihapus dari memori untuk menghilangkan jejak apa pun.
Fitur lain yang menarik dari M2RAT adalah menggunakan bagian memori bersama untuk komunikasi perintah dan kontrol (C2), eksfiltrasi data, dan transfer langsung data yang dicuri ke C2 tanpa menyimpannya di sistem yang disusupi.
Menggunakan bagian memori pada host untuk fungsi di atas meminimalkan pertukaran dengan C2 dan mempersulit analisis, karena peneliti keamanan harus menganalisis memori perangkat yang terinfeksi untuk mengambil perintah dan data yang digunakan oleh malware.
Kesimpulannya, APT37 terus menyegarkan perangkat kustomnya dengan malware yang sulit dideteksi dan dianalisis.
Ini terutama benar ketika targetnya adalah individu, seperti dalam kampanye baru-baru ini yang ditemukan oleh ASEC, yang tidak memiliki alat pendeteksi ancaman canggih dari organisasi yang lebih besar.
