Il gruppo di minacce APT37 utilizza un nuovo malware evasivo “M2RAT” e la steganografia per prendere di mira le persone e raccogliere informazioni personali. In un nuovo rapporto pubblicato da AhnLab Security Emergency Response Center (ASEC), i ricercatori spiegano come APT37 stia ora utilizzando il nuovo ceppo di malware che utilizza una sezione di memoria condivisa per i comandi e l’esfiltrazione di dati e lascia pochissime tracce operative sul macchina infetta.
I recenti attacchi osservati dall’ASEC sono iniziati nel gennaio 2023, quando il gruppo di hacker ha inviato ai propri obiettivi e-mail di phishing contenenti un allegato dannoso. L’apertura dell’allegato innesca lo sfruttamento di una vecchia vulnerabilità EPS (CVE-2017-8291) nell’elaboratore di testi Hangul comunemente utilizzato in Corea del Sud. L’exploit causerà l’esecuzione di shellcode sul computer di una vittima che scarica ed esegue un’eseguibile dannoso memorizzato all’interno di un’immagine JPEG.
Questo file immagine JPG utilizza la steganografia, una tecnica che consente di nascondere il codice all’interno dei file, per introdurre furtivamente l’eseguibile M2RAT (“lskdjfei.exe“) nel sistema e iniettarlo in “explorer.exe“.
Per la persistenza nel sistema, il malware aggiunge un nuovo valore (“RyPO”) nella chiave di registro “Esegui”, con comandi per eseguire uno script PowerShell tramite “cmd.exe”. Questo stesso comando è stato visto anche in un rapporto Kaspersky del 2021 su APT37.
La backdoor M2RAT funge da trojan di accesso remoto di base che esegue il keylogging, il furto di dati, l’esecuzione di comandi e l’acquisizione di schermate dal desktop. La funzione di cattura degli screenshot viene attivata periodicamente e funziona in autonomia senza richiedere uno specifico comando da parte dell’operatore. Particolarmente interessante è la capacità del malware di cercare dispositivi portatili collegati al computer Windows, come smartphone o tablet. Se viene rilevato un dispositivo portatile, eseguirà la scansione del contenuto del dispositivo alla ricerca di documenti e file di registrazione vocale e, se trovati, li copierà sul PC per l’esfiltrazione sul server dell’aggressore. Prima dell’esfiltrazione, i dati rubati vengono compressi in un archivio RAR protetto da password e la copia locale viene cancellata dalla memoria per eliminare ogni traccia.
Un’altra caratteristica interessante di M2RAT è che utilizza una sezione di memoria condivisa per la comunicazione di comando e controllo (C2), l’esfiltrazione dei dati e il trasferimento diretto dei dati rubati al C2 senza memorizzarli nel sistema compromesso. L’utilizzo di una sezione di memoria sull’host per le funzioni di cui sopra riduce al minimo lo scambio con il C2 e rende l’analisi più difficile, poiché i ricercatori di sicurezza devono analizzare la memoria dei dispositivi infetti per recuperare i comandi e i dati utilizzati dal malware.