Peretas RedEyes Gunakan Malware Baru Untuk Mencuri Data

Kelompok peretasan APT37 atau yang juga dikenal sebagai RedEyes terlihat menggunakan malware dan steganografi 'M2RAT' baru yang mengelak untuk menargetkan individu untuk pengumpulan intelijen.

RedEyes atau ScarCruft, adalah kelompok peretas spionase dunia maya Korea Utara yang diyakini didukung oleh negara. Pada tahun 2022, grup peretasan terlihat mengeksploitasi Internet Explorer zero-days dan mendistribusikan berbagai macam malware terhadap entitas dan individu yang ditargetkan.

Dikutip dari Bleeping Computer, dalam laporan baru yang dirilis hari ini oleh Pusat Tanggap Darurat Keamanan AhnLab (ASEC), para peneliti menjelaskan bagaimana APT37 sekarang menggunakan jenis malware baru yang disebut 'M2RAT' yang menggunakan bagian memori bersama untuk perintah dan eksfiltrasi data dan meninggalkan sangat sedikit jejak operasional di mesin yang terinfeksi.

“Serangan baru-baru ini yang diamati oleh ASEC dimulai pada Januari 2023, ketika grup peretasan mengirim email phishing yang berisi lampiran berbahaya ke target mereka,” kata peneliti AhnLab.

Saat membuka lampiran memicu eksploitasi kerentanan EPS lama (CVE-2017-8291) di pengolah kata Hangul yang biasa digunakan di Korea Selatan. Eksploitasi akan menyebabkan kode shell berjalan di komputer korban yang mengunduh dan mengeksekusi eksekusi berbahaya yang disimpan dalam gambar JPEG. File gambar JPG ini menggunakan steganografi, sebuah teknik yang memungkinkan menyembunyikan kode di dalam file, untuk secara diam-diam memperkenalkan M2RAT yang dapat dieksekusi ("lskdjfei.exe") ke dalam sistem dan memasukkannya ke dalam "explorer.exe."

Untuk kegigihan pada sistem, malware menambahkan nilai baru ("RyPO") di kunci Registri "Jalankan", dengan perintah untuk menjalankan skrip PowerShell melalui "cmd.exe." Perintah yang sama ini juga terlihat dalam laporan Kaspersky tahun 2021 tentang APT37.

Sementara itu, Backdoor M2RAT bertindak sebagai trojan akses jarak jauh dasar yang melakukan keylogging, pencurian data, eksekusi perintah, dan pengambilan screenshot dari desktop. Fungsi tangkapan layar diaktifkan secara berkala dan bekerja secara mandiri tanpa memerlukan perintah operator tertentu.

Malware mendukung perintah berikut, yang mengumpulkan informasi dari perangkat yang terinfeksi dan kemudian mengirimkannya kembali ke server C2 untuk ditinjau oleh penyerang. Kemampuan malware untuk memindai perangkat portabel yang terhubung ke komputer Windows, seperti smartphone atau tablet, sangat menarik.

Jika perangkat portabel terdeteksi, itu akan memindai konten perangkat untuk dokumen dan file rekaman suara dan, jika ditemukan, menyalinnya ke PC untuk dieksfiltrasi ke server penyerang. Sebelum eksfiltrasi, data yang dicuri dikompresi dalam arsip RAR yang dilindungi kata sandi, dan salinan lokal dihapus dari memori untuk menghilangkan jejak apa pun.=

Fitur lain yang menarik dari M2RAT adalah menggunakan bagian memori bersama untuk komunikasi perintah dan kontrol (C2), eksfiltrasi data, dan transfer langsung data yang dicuri ke C2 tanpa menyimpannya di sistem yang disusupi.

Menggunakan bagian memori pada host untuk fungsi di atas meminimalkan pertukaran dengan C2 dan mempersulit analisis, karena peneliti keamanan harus menganalisis memori perangkat yang terinfeksi untuk mengambil perintah dan data yang digunakan oleh malware.

“Kesimpulannya, APT37 terus menyegarkan perangkat kustomnya dengan malware yang sulit dideteksi dan dianalisis,” kata peneliti.


Sumber : https://cyberthreat.id/read/15365/Peretas-RedEyes-Gunakan-Malware-Baru-Untuk-Mencuri-Data

Comments