У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

Татьяна Никитина 15 Февраля 2023 - 15:32

...

У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

При разборе январских атак APT37 эксперты AhnLab обнаружили, что арсенал северокорейских хакеров пополнился бесфайловым зловредом M2RAT. Чтобы скрыть полезную нагрузку, злоумышленники используют стеганографию, да и сам троян старается оставлять как можно меньше следов в системе.

Кибергруппа APT37, известная также как RedEyes, ScarCruft , Reaper и Ricochet Chollima, занимается шпионажем — как многие считают, при поддержке властей КНДР. В прошлом году, по данным BleepingComputer, злоумышленники активно использовали уязвимость 0-day в Internet Explorer (CVE-2022-41128) для доставки различных вредоносов.

Так, например, в ходе атак на европейские организации APT-группа через эксплойт устанавливала бэкдор Dolphin для мобильных устройств. Российским дипломатам она пыталась навязать кастомного RAT-трояна Konni, американским журналистам — персональные варианты Goldbackdoor (PDF).

Новобранец M2RAT был обнаружен при анализе писем с вредоносным вложением, которые APT37 избирательно разослала в прошлом месяце. При открытии маскировочного документа срабатывает эксплойт CVE-2017-8291 (к RCE-уязвимости GhostButt в текстовом редакторе Hangul, популярном в Корее).

В случае успеха в системе запускается шелл-код, который загружает JPEG-файл и запускает на исполнение вредоносный код, спрятанный в картинке. Чтобы обеспечить себе постоянное присутствие в системе, зловред регистрирует PowerShell-команду, создавая новый ключ реестра Run.

По свидетельству AhnLab, вредонос M2RAT работает как троян удаленного доступа. Он умеет собирать информацию о зараженной системе и отправлять ее на свой сервер, регистрировать клавиатурный ввод, воровать данные, выполнять различные команды, делать снимки экрана (автономно и с заданной периодичностью).

Кроме того, зловред, как и бэкдор Dolphin, проводит сканирование на наличие подключенных к компьютеру портативных устройств. При обнаружении смартфона или планшета проводится поиск документов и аудиозаписей, с копированием на ПК. Украденные данные отсылаются на C2 в виде запароленного RAR-архива, и локальная копия стирается из памяти, чтобы замести следы.

Новоявленный троян также интересен тем, что использует общую память для C2-коммуникаций и эксфильтрации данных. Таким образом, обмен M2RAT с C2-сервером сведен к минимуму, что сильно затрудняет анализ.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 18:59

Solar Dozor Корпорации Системы защиты от утечек конфиденциальной информации (DLP) ГК «Солар»

Solar Dozor 8.3 научили быстрее восстанавливать данные после шифровальщиков

ГК «Солар» выпустила новую версию Solar Dozor 8.3 — своей DLP-системы для крупных компаний, банков и госструктур. Главный акцент в обновлении сделали на устойчивости: если данные окажутся зашифрованы в результате атаки или сбоя, их можно будет восстановить за считаные минуты, без долгого подъёма архивов.

Ключевое изменение в релизе — репликация центрального файлового хранилища.

По сути, система теперь умеет создавать теневую копию логически связанных данных — например, сообщений, скриншотов и аудиозаписей — чтобы при проблемах быстрее вернуть их в работу. На фоне атак шифровальщиков это выглядит вполне понятным шагом: для крупных инфраструктур остановка защитной системы сама по себе уже становится серьёзной проблемой.

Обновление затронуло и архитектуру в целом. В версии 8.3 трафик между компонентами Solar Dozor теперь шифруется через mTLS на базе TLS 1.2/1.3, а для доступа к системе добавлена доменная аутентификация LDAP с поддержкой Kerberos и LDAP. Иначе говоря, интегрировать решение в корпоративную доменную среду стало проще, а управление доступом — более привычным для крупных ИТ-инфраструктур.

Кроме того, в системе появилась поддержка IPv6 и настройка по FQDN, что должно упростить её использование в динамических сетевых средах, где всё не завязано на статические IP-адреса.

Есть изменения и на уровне самого анализа данных. Solar Dozor теперь точнее распознаёт специальные символы, включая знак доллара, а также умеет разбирать файлы внутри архивов без ограничений по уровню вложенности. Это расширяет область контроля и затрудняет попытки спрятать чувствительные данные в глубоко вложенных архивах.

Для macOS добавили распознавание текста на изображениях, а для рабочих станций на Windows и Linux расширили механизмы контроля на уровне endpoint. Также в системе изменили логику анализа печати: теперь проверяются не целые документы, а только страницы, реально отправляемые на принтер. Это должно снизить нагрузку на ИБ-специалистов и сократить число лишних событий.

В «Соларе» также обновили интерфейс и упростили настройку политик. Плюс увеличили лимиты выгрузки отчётов: теперь система может отдавать до 50 тысяч событий, сообщений и файлов за раз, что должно быть удобнее для разбора инцидентов и анализа общей картины.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!