У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

Татьяна Никитина 15 Февраля 2023 - 15:32

...

У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

При разборе январских атак APT37 эксперты AhnLab обнаружили, что арсенал северокорейских хакеров пополнился бесфайловым зловредом M2RAT. Чтобы скрыть полезную нагрузку, злоумышленники используют стеганографию, да и сам троян старается оставлять как можно меньше следов в системе.

Кибергруппа APT37, известная также как RedEyes, ScarCruft , Reaper и Ricochet Chollima, занимается шпионажем — как многие считают, при поддержке властей КНДР. В прошлом году, по данным BleepingComputer, злоумышленники активно использовали уязвимость 0-day в Internet Explorer (CVE-2022-41128) для доставки различных вредоносов.

Так, например, в ходе атак на европейские организации APT-группа через эксплойт устанавливала бэкдор Dolphin для мобильных устройств. Российским дипломатам она пыталась навязать кастомного RAT-трояна Konni, американским журналистам — персональные варианты Goldbackdoor (PDF).

Новобранец M2RAT был обнаружен при анализе писем с вредоносным вложением, которые APT37 избирательно разослала в прошлом месяце. При открытии маскировочного документа срабатывает эксплойт CVE-2017-8291 (к RCE-уязвимости GhostButt в текстовом редакторе Hangul, популярном в Корее).

В случае успеха в системе запускается шелл-код, который загружает JPEG-файл и запускает на исполнение вредоносный код, спрятанный в картинке. Чтобы обеспечить себе постоянное присутствие в системе, зловред регистрирует PowerShell-команду, создавая новый ключ реестра Run.

По свидетельству AhnLab, вредонос M2RAT работает как троян удаленного доступа. Он умеет собирать информацию о зараженной системе и отправлять ее на свой сервер, регистрировать клавиатурный ввод, воровать данные, выполнять различные команды, делать снимки экрана (автономно и с заданной периодичностью).

Кроме того, зловред, как и бэкдор Dolphin, проводит сканирование на наличие подключенных к компьютеру портативных устройств. При обнаружении смартфона или планшета проводится поиск документов и аудиозаписей, с копированием на ПК. Украденные данные отсылаются на C2 в виде запароленного RAR-архива, и локальная копия стирается из памяти, чтобы замести следы.

Новоявленный троян также интересен тем, что использует общую память для C2-коммуникаций и эксфильтрации данных. Таким образом, обмен M2RAT с C2-сервером сведен к минимуму, что сильно затрудняет анализ.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Апреля 2026 - 11:11

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Полностью отключить Telegram в России без изоляции интернета не получится

Полностью заблокировать Telegram в России без отключения страны от глобального интернета практически невозможно. По словам гендиректора ComNews Group Леонида Коника, полная блокировка мессенджера возможна только в случае физического отключения страны от мирового интернета. В иных сценариях речь может идти лишь о частичных ограничениях или усложнении доступа.

К такому выводу пришли опрошенные «Ведомостями» эксперты телеком-рынка.

Схожей точки зрения придерживается и гендиректор провайдера «Комфортел» Дмитрий Петров. Он отметил, что технически невозможно добиться ситуации, при которой Telegram полностью перестанет работать у всех пользователей. Максимум, чего можно достичь, — это снизить удобство использования и тем самым сократить аудиторию сервиса.

На практике такие меры уже применяются. Ещё 10 февраля Роскомнадзор официально подтвердил замедление Telegram. Власти объясняют это тем, что мессенджер не выполняет требования российского законодательства, в частности не ограничивает доступ к запрещённому контенту.

При этом разговоры о возможной более жёсткой блокировке продолжаются. Ранее источники СМИ утверждали, что Telegram могут заблокировать уже 1 апреля, однако в Роскомнадзоре эту информацию прямо не опровергали.

Дополнительный повод для обсуждений появился накануне: 31 марта пользователи Telegram в России начали получать уведомления о возможных трудностях с оплатой Premium-подписки «в ближайшее время».

В итоге ситуация вокруг мессенджера остаётся неопределённой. С одной стороны, ограничения уже усиливаются, с другой — сами эксперты признают, что полностью «выключить» Telegram без радикальных мер на уровне всей интернет-инфраструктуры практически нереально.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!