У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

У APT-группы RedEyes появился RAT, ворующий данные с Windows и смартфонов

При разборе январских атак APT37 эксперты AhnLab обнаружили, что арсенал северокорейских хакеров пополнился бесфайловым зловредом M2RAT. Чтобы скрыть полезную нагрузку, злоумышленники используют стеганографию, да и сам троян старается оставлять как можно меньше следов в системе.

Кибергруппа APT37, известная также как RedEyes, ScarCruft , Reaper и Ricochet Chollima, занимается шпионажем — как многие считают, при поддержке властей КНДР. В прошлом году, по данным BleepingComputer, злоумышленники активно использовали уязвимость 0-day в Internet Explorer (CVE-2022-41128) для доставки различных вредоносов.

Так, например, в ходе атак на европейские организации APT-группа через эксплойт устанавливала бэкдор Dolphin для мобильных устройств. Российским дипломатам она пыталась навязать кастомного RAT-трояна Konni, американским журналистам — персональные варианты Goldbackdoor (PDF).

Новобранец M2RAT был обнаружен при анализе писем с вредоносным вложением, которые APT37 избирательно разослала в прошлом месяце. При открытии маскировочного документа срабатывает эксплойт CVE-2017-8291 (к RCE-уязвимости GhostButt в текстовом редакторе Hangul, популярном в Корее).

В случае успеха в системе запускается шелл-код, который загружает JPEG-файл и запускает на исполнение вредоносный код, спрятанный в картинке. Чтобы обеспечить себе постоянное присутствие в системе, зловред регистрирует PowerShell-команду, создавая новый ключ реестра Run.

 

По свидетельству AhnLab, вредонос M2RAT работает как троян удаленного доступа. Он умеет собирать информацию о зараженной системе и отправлять ее на свой сервер, регистрировать клавиатурный ввод, воровать данные, выполнять различные команды, делать снимки экрана (автономно и с заданной периодичностью).

Кроме того, зловред, как и бэкдор Dolphin, проводит сканирование на наличие подключенных к компьютеру портативных устройств. При обнаружении смартфона или планшета проводится поиск документов и аудиозаписей, с копированием на ПК. Украденные данные отсылаются на C2 в виде запароленного RAR-архива, и локальная копия стирается из памяти, чтобы замести следы.

Новоявленный троян также интересен тем, что использует общую память для C2-коммуникаций и эксфильтрации данных. Таким образом, обмен M2RAT с C2-сервером сведен к минимуму, что сильно затрудняет анализ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России массовый сбой в работе платежных сервисов

В работе Системы быстрых платежей (СБП) произошёл серьёзный сбой. Проблемы с переводами и оплатами возникли также у пользователей других банков и платёжных сервисов.

О неполадках начали сообщать региональные СМИ.

«На данный момент невозможно осуществить ни один перевод по СБП, с чем столкнулся и наш журналист. При этом официальных комментариев и сроков устранения неисправности пока не поступало», — пишет онлайн-издание «Тверские ведомости».

Сервис Downdetector также зафиксировал множество жалоб на проблемы в работе СБП. Больше всего сообщений поступило из Санкт-Петербурга и Ленинградской области, однако значительная их часть также пришлась на Тверскую область. Основные претензии касаются нестабильной работы сервиса, недоступности сайта и невозможности входа в мобильное приложение.

«Проблемы наблюдаются в Сбере, Т-банке, Яндексе. В первом случае сразу предупреждают о сбое и просят попробовать перевести деньги через 10 минут. В остальных — перевести средства просто не удаётся», — сообщает сайт «МК в Петербурге».

По данным РБК, сбой в работе СБП затронул также пользователей «Яндекс Пэй», ВТБ, Альфа-Банка и Озон Банка. Кроме проблем с переводами, пользователи этих сервисов столкнулись с невозможностью проведения платежей и пополнения карт.

В Национальной системе платёжных карт (НСПК), которая выступает оператором СБП, подтвердили наличие технических трудностей, но не раскрыли подробности: «НСПК фиксирует затруднения при обработке операций через СБП. Специалисты работают над их устранением. Остальные сервисы и системы НСПК функционируют в штатном режиме».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru