El actor de amenazas vinculado a Corea del Norte rastreado como APT37 ha sido vinculado a un nuevo malware denominado M2RAT en ataques dirigidos a su contraparte del sur, lo que sugiere una evolución continua de las características y tácticas del grupo.
APT37, también rastreado bajo los apodos Reaper, RedEyes, Ricochet Chollima y ScarCruft, está vinculado al Ministerio de Seguridad del Estado (MSS) de Corea del Norte a diferencia de los grupos de amenazas Lazarus y Kimsuky que forman parte de la Oficina General de Reconocimiento (RGB).
Según Mandiant, propiedad de Google, MSS tiene la tarea de “contraespionaje nacional y actividades de contrainteligencia en el extranjero”, y las campañas de ataque de APT37 reflejan las prioridades de la agencia. Históricamente, las operaciones han apuntado a individuos como desertores y activistas de derechos humanos.
“La misión principal evaluada de APT37 es la recopilación de inteligencia encubierta en apoyo de los intereses militares, políticos y económicos estratégicos de la RPDC”, dijo la firma de inteligencia de amenazas .
Se sabe que el actor de amenazas confía en herramientas personalizadas como Chinotto, RokRat, BLUELIGHT, GOLDBACKDOOR y Dolphin para recolectar información confidencial de hosts comprometidos.
“La característica principal de este caso de ataque de RedEyes Group es que usó una vulnerabilidad Hangul EPS y usó técnicas de esteganografía para distribuir códigos maliciosos”, dijo AhnLab Security Emergency Response Center (ASEC) en un informe publicado el martes.
La cadena de infección observada en enero de 2023 comienza con un documento Hangul señuelo, que aprovecha una falla ahora parcheada en el software de procesamiento de textos (CVE-2017-8291) para activar un código shell que descarga una imagen de un servidor remoto.
El archivo JPEG utiliza técnicas esteganográficas para ocultar un ejecutable portátil que, cuando se inicia, descarga el implante M2RAT y lo inyecta en el proceso legítimo explorer.exe.
Si bien la persistencia se logra mediante una modificación del Registro de Windows, M2RAT funciona como una puerta trasera capaz de registrar teclas, capturar pantallas, ejecutar procesos y robar información. Al igual que Dolphin, también está diseñado para desviar datos de discos extraíbles y teléfonos inteligentes conectados.
“Es muy difícil defenderse de estos ataques APT, y se sabe que el grupo RedEyes en particular se dirige principalmente a individuos, por lo que puede ser difícil para las personas no corporativas reconocer el daño”, dijo ASEC.
Fuente: The Hackers News