Cyberattaque

Les pirates de RedEyes utilisent un nouveau logiciel malveillant pour voler les données de Windows et des téléphones

Par Philippe Ternision , le 16 février 2023 , mis à jour le 16 février 2023 - 4 minutes de lecture
hacker
AccueilActusCyberattaqueLes pirates de RedEyes utilisent un nouveau logiciel malveillant pour voler les données de Windows et des téléphones
5/5 - (1 vote)

Le groupe de menaces APT37 cible les personnes pour la collecte de renseignements en utilisant le nouveau malware insaisissable “M2RAT” et la stéganographie.

APT37, également connu sous le nom de “RedEyes” ou “ScarCruft”, est un collectif de pirates nord-coréens qui serait financé par le gouvernement.

Ce gang de pirates a été observé en 2022 en train d’utiliser les vulnérabilités de type “zero-day” d’Internet Explorer pour distribuer un large éventail de logiciels malveillants contre des entreprises et des personnes sélectionnées.

Par exemple, les acteurs de la menace ont déployé un RAT (cheval de Troie d’accès à distance) personnalisé appelé “Konni” et ont ciblé des journalistes américains avec un malware hautement personnalisable surnommé “Goldbackdoor” pour attaquer des entreprises basées en Europe.

Dans un nouveau rapport publié aujourd’hui par AhnLab Security Emergency response Center (ASEC), des chercheurs expliquent comment APT37 déploie désormais une nouvelle souche de malware nommée “M2RAT”, qui utilise une région de mémoire partagée pour les instructions et l’exfiltration de données et laisse très peu de traces opérationnelles sur la machine compromise.

Commence par le phishing

L’organisation de pirates a commencé les attaques les plus récentes observées par l’ASEC en janvier 2023 en envoyant à leurs cibles des courriels de phishing avec une pièce jointe malveillante.

Une vulnérabilité EPS obsolète (CVE-2017-8291) dans le traitement de texte Hangul largement utilisé en Corée du Sud est exploitée lorsque la pièce jointe est ouverte. Sur le PC de la victime, l’exploit fait exécuter un shellcode qui télécharge et lance un code malveillant caché dans une image JPEG.

Ce fichier image JPG installe sournoisement l’exécutable M2RAT (“lskdjfei.exe”) sur le système et l’injecte dans “explorer.exe” via la stéganographie, une technique qui permet de cacher du code à l’intérieur des fichiers.

Malware code hiding in the JPEG file
Code du malware caché dans le fichier JPEG (ASEC)

Le malware insère une nouvelle valeur (“RyPO”) dans la clé de registre “Run” avec des instructions pour exécuter un script PowerShell via “cmd.exe” afin de maintenir la persistance sur le système. Dans un rapport de Kaspersky datant de 2021 sur APT37, une commande exactement identique a également été notée.

APT37 attack flow
Flux d’attaque d’APT37 (ASEC)

M2RAT s’empare de Windows et des téléphones

La porte dérobée M2RAT fonctionne comme un cheval de Troie d’accès à distance simple, permettant l’enregistrement des touches, le vol de données, l’exécution de commandes et la capture d’écran.

La fonction de capture d’écran est déclenchée périodiquement et fonctionne de manière autonome sans ordre particulier de l’opérateur.

Le virus prend en charge les commandes suivantes, qui recueillent les données de l’appareil infecté et les renvoient au serveur C2 pour que les attaquants puissent les examiner.

Table of supported CMD commands
Commandes CMD prises en charge (ASEC)

Il est particulièrement intriguant de voir comment le malware peut rechercher des appareils portables comme des smartphones ou des tablettes qui sont liés à l’ordinateur Windows.

Lorsqu’un appareil portable est identifié, le logiciel recherche dans son contenu des documents et des enregistrements vocaux et les copie sur le PC pour les exfiltrer vers le serveur de l’attaquant s’il en découvre.

Les données volées sont emballées dans une archive RAR protégée par un mot de passe avant d’être exfiltrées, et la copie locale est effacée de la mémoire pour supprimer toute trace.

L’utilisation de la mémoire partagée par M2RAT pour la communication C2, l’exfiltration de données et la transmission directe des données volées au C2 sans les stocker dans le système compromis est un autre aspect intriguant de ce malware.

Alors que les chercheurs en sécurité doivent examiner la mémoire des appareils infectés pour récupérer les commandes et les données utilisées par le virus, l’utilisation d’une zone de mémoire sur l’hôte aux fins susmentionnées réduit les échanges avec le C2 et complique l’analyse.

En conclusion, APT37 continue de mettre à jour sa boîte à outils unique avec des logiciels malveillants évasifs, difficiles à identifier et à décrypter.

Cela est particulièrement vrai lorsque les cibles sont des personnes, comme dans la récente campagne découverte par ASEC, qui ne disposent pas des systèmes sophistiqués de détection des menaces utilisés par les grandes entreprises.

 

Vues 49

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.