Группировка RedEyes прячет вредоносный код в изображениях и ворует файлы с подключенных к компьютеру устройств

APT37 (она же RedEyes, ScarCruft, Ricochet Chollima, Reaper, Group123 или InkySquid) — это северокорейская хакерская группировка, которая занимается кибершпионажем. Считается, что она поддерживается властями КНДР. Недавно стало известно, что группировка использует новое уклончивое вредоносное ПО M2RAT и стеганографию для сбора разведданных.

В 2022 году APT37 была замечена в эксплуатации уязвимостей нулевого дня Internet Explorer и распространении широкого спектра вредоносных программ против целевых организаций и частных лиц. Например, злоумышленники атаковали организации, базирующиеся в Евросоюзе, с помощью новой версии своего мобильного бэкдора под названием «Dolphin», внедряли пользовательский RAT (троянец удаленного доступа) под названием «Konni», а также атаковали американских журналистов с помощью настраиваемой вредоносной программы под названием «Goldbackdoor».

В новом отчёте , опубликованном 14 февраля Центром реагирования на чрезвычайные ситуации AhnLab Security ( ASEC ), исследователи объясняют, как APT37 теперь использует новый штамм вредоносного ПО под названием «M2RAT». Он использует раздел общей памяти для выполнения команд и удаления данных, оставляя при этом очень мало следов работы на зараженной машине.

Данные атаки начались в январе 2023 года, когда хакерская группа разослала своим целям фишинговые электронные письма, содержащие вредоносное вложение. Принцип следующий: после открытия вложения в ход идёт старая уязвимость CVE-2017-8291 в текстовом редакторе Hangul, обычно используемом в Южной Корее. Эксплойт запускает шелл-код на компьютере жертвы, который, в свою очередь, загружает и выполняет вредоносное ПО, хранящееся в изображении JPEG.

Сам JPG-файл использует «стеганографию» — технику, которая позволяет скрывать код внутри файлов, чтобы незаметно внедрить исполняемый файл M2RAT («lskdjfei.exe») в систему и ввести его в «explorer.exe».

Вредоносный код, скрывающийся в файле JPEG

Для сохранения в системе вредоносная программа добавляет новое значение («RyPO») в раздел реестра «Выполнить» с командами для выполнения сценария PowerShell через «cmd.exe». Эта же команда также была замечена в отчете Касперского за 2021 год об APT37.

Процесс атаки APT37 через JPEG-файл

Бэкдор M2RAT действует как обычный троянец удаленного доступа, производящий кейлоггинг, кражу данных, выполнение команд и создание скриншотов с рабочего стола. Функция создания снимков экрана активируется периодически и работает автономно, не требуя специальной команды оператора.

Особенно интересна способность вредоносного ПО сканировать портативные устройства, подключенные к компьютеру с Windows, такие как смартфоны или планшеты. При обнаружении портативного устройства ПО сканирует его содержимое на наличие документов и файлов с записью голоса, а при обнаружении копирует их на компьютер для отправки злоумышленнику. Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, а локальная копия стирается из памяти для устранения любых следов.

Еще одной интересной особенностью M2RAT является то, что он использует раздел общей памяти для взаимодействия с C2 -сервером без сохранения во взломанной системе. Использование раздела общей памяти на хосте сводит к минимуму обмен данными с C2-сервером и усложняет анализ угрозы исследователями.

APT37 продолжает обновлять свой пользовательский набор инструментов вредоносными программами, которые сложно обнаружить и проанализировать. Данные инструменты особенно полезны в атаках на небольшие организации, которые не подготовлены для обнаружения и отражения подобных атак.