Il gruppo di hacking APT37, anche noto come RedEyes o ScarCruft, sta sfruttando il malware M2RAT e la steganografia per rubare dati da Windows e smartphone. I vettori d’infezione sono il phishing e le vulnerabilità a cui non sono state applicate le patch disponibili.
“RedEyes o APT37”, commenta Pierguido Iezzi, Ceo di Swascan, “stando a quanto è possibile discernere dall’ultima analisi di questo threat actor – è un perfetto esempio di gruppo di criminal hacker state sponsored (in questo caso dalla Corea del Nord)”. Ecco come proteggersi.
Indice degli argomenti
Il malware M2RAT e la steganografia
Nel 2022 gli hacker del gruppo sfruttavano le vulnerabilità zero-day a rischio exploit in Internet Explorer, per distribuire un ampio assortimento di malware contro entità ed individui presi di mira.
“In questo caso l’allerta è legata ad una vulnerabilità nota, ma in passato hanno abusato di zero-day”, spiega Iezzi: “Il fatto che la CVE expoloitata faccia riferimento ad un sistema molto diffuso in Corea del Sud, non deve sorprendere. Così come il vettore d’infezione, ovvero il phishing”.
I threat actor hanno attaccato organizzazioni, con base in Europa, con nuove versioni delle loro backdoor mobili note come Dolphin, i custom RAT (remote access trojan) chiamati Konni. Ma hanno anche preso di mira giornalisti statunitensi con un malware noto come Goldbackdoor, altamente personalizzabile.
Da un nuovo report a firma di ASEC (AhnLab Security Emergency response Center), emerge che APT37 sta ora sfruttando un nuovo ceppo del malware M2RAT che utilizza una sezione di memoria condivisa per i comandi e l’esfiltrazione dei dati, lasciando poche tracce operative su macchine infette.
Vettore d’infezione e steganografia
I recenti attacchi osservati da ASEC sono iniziati nel gennaio 2023, quando il gruppo di hacking ha inviato email di phishing contenenti un allegato malevolo ai loro bersagli.
L’attacco verso una vecchia vulnerabilità EPS (CVE-2017-8291) che si innesca aprendo l’allegato. L’exploit permette allo shellcode di girare sul computer della vittima che scarica un eseguibile malevolo archiviato in un’immagine JPEG.
Questa immagine JPEG usa la steganografia, una tecnica che permette di nascondere codice dentro i file, per introdurre di nascosto l’eseguibile M2RAT (“lskdjfei.exe”) nel sistema e lo inietta in “explorer.exe.”
Per guadagnare persistenza nel sistema, il malware aggiunge un nuovo valore (“RyPO”) nella chiave di registro “Run”, con i comandi per eseguire uno script PowerShell via “cmd.exe” (come APT37 ha già fatto, secondo quanto scoperto nel 2021).
Come difendersi
“Questa ultima ondata di attacchi”, conclude Iezzi, “deve essere un reminder importante di come anche i vendor rivestano un ruolo importante nella sicurezza informatica, lungo tutto l’iter di vita dei loro prodotti. Un paradigma che – assieme alla collaborazione continua con autorità e security company – non può più essere ignorato”.
Per proteggersi è necessario mantenere aggiornati sistemi operativi, software e app, per evitare che i cyber criminali sfruttino vulnerabilità già risolte. Inoltre, le buone pratiche consigliano di non abbassare mai la guardia contro il phishing. Quando si ricevono mail (anche da utenti conosciuti), non bisogna mai aprire allegati.
La migliora arma di difesa è sempre la consapevolezza dei rischi, adottando buone pratiche di cyber igiene e postura.