RedEyes Kelompok Peretas yang Menggunakan Malware Baru Untuk Mencuri Data

RedEyes Kelompok Peretas yang Menggunakan Malware Baru Untuk Mencuri Data

Posted by : Admin , Feb 17, 2023
Kelompok peretas APT37, juga dikenal sebagai RedEyes telah terlihat menggunakan malware M2RAT baru dan steganografi M2RAT untuk menargetkan orang-orang untuk pengumpulan informasi.

RedEyes atau ScarCruft adalah kelompok kode spionase dunia maya Korea Utara yang diyakini disponsori negara. Pada tahun 2022, kelompok peretas akan mengeksploitasi Internet Explorer zero-days dan memperbanyak berbagai malware terhadap kelompok sasaran dan individu.

Dalam laporan baru yang diterbitkan hari ini oleh Pusat Tanggap Darurat Keamanan AhnLab (ASEC) dan dikutip oleh Bleeping Computer, para peneliti menjelaskan bagaimana APT37 sekarang menggunakan malware jenis baru yang disebut "M2RAT", yang menggunakan memori bersama untuk perintah dan eksfiltrasi data. meninggalkan sangat sedikit jejak fungsional pada mesin yang terinfeksi.

"Serangan ASEC terbaru dimulai pada Januari 2023, ketika grup peretas mengirim targetnya email phishing dengan lampiran berbahaya," kata peneliti AhnLab. Membuka lampiran memicu eksploitasi kerentanan EPS lama (CVE-2017-8291) di pengolah kata Hangul yang tersebar luas di Korea Selatan. Serangan tersebut menyebabkan komputer korban menjalankan kode shell yang mengunduh dan menjalankan file berbahaya yang dapat dijalankan yang disimpan dalam gambar JPEG. File gambar JPG ini menggunakan steganografi, sebuah teknik yang memungkinkan kode disembunyikan dalam file untuk mengimpor secara diam-diam M2RAT yang dapat dieksekusi ('lskdjfei.exe') ke dalam sistem dan memasukkannya ke dalam file explorer.exe.

Untuk kegigihan sistem, malware menambahkan nilai baru ("RyPO") ke kunci registri "Jalankan" dengan perintah untuk menjalankan skrip PowerShell dari "cmd.exe". Perintah yang sama juga muncul dalam laporan Kaspersky 2021 di APT37.

Sementara itu, M2RAT Backdoor bertindak sebagai trojan akses jarak jauh sederhana yang melakukan keylogging, pencurian data, eksekusi perintah, dan tangkapan layar desktop. Fungsi tangkapan layar diaktifkan dari waktu ke waktu dan bekerja secara mandiri tanpa perintah pengguna khusus. Malware mendukung perintah berikut yang mengumpulkan data dari perangkat yang terinfeksi dan kemudian mengirimkannya kembali ke server C2 untuk diperiksa. Kemampuan malware untuk memindai perangkat seluler seperti smartphone atau tablet yang terhubung ke komputer Windows sangat menarik.

Ketika perangkat portabel terdeteksi, itu mencari konten perangkat untuk dokumen dan rekaman audio dan, jika ditemukan, menyalinnya ke komputer sehingga dapat difilter ke server penyerang. Sebelum memfilter, data yang dicuri dikemas ke dalam arsip RAR yang dilindungi kata sandi dan salinan lokal dihapus dari penyimpanan untuk menghilangkan jejak.

Fitur lain yang menarik dari M2RAT adalah menggunakan partisi memori bersama untuk komunikasi perintah-dan-kontrol (C2), pemfilteran data, dan transmisi langsung data yang dicuri ke C2 tanpa menyimpannya di sistem yang disusupi. Menggunakan bagian dari memori host untuk operasi di atas meminimalkan pertukaran dengan C2 dan memperumit analisis, karena peneliti keamanan harus menganalisis memori perangkat yang terinfeksi untuk perintah dan data yang digunakan oleh malware.

“Kesimpulannya, APT37 terus memperbarui perangkat kustomnya dengan malware yang sulit dideteksi dan dianalisis,” kata peneliti. 

Sumber : thehackernews.com