APT37 ha sfruttato Internet Explorer fino ai suoi ultimi giorni

Il gruppo di minaccia APT37, noto anche come ‘RedEyes’ o ‘ScarCruft’, è un gruppo di hacker nordcoreani sospettati di essere supportati dallo stato. Nel 2022, il gruppo è stato visto sfruttare vulnerabilità zero-day di Internet Explorer e distribuire una vasta gamma di malware contro entità e individui mirati. In un nuovo rapporto pubblicato oggi dal Centro di risposta alle emergenze della sicurezza AhnLab (ASEC), i ricercatori spiegano come APT37 stia utilizzando un nuovo ceppo di malware chiamato ‘M2RAT’ che utilizza una sezione di memoria condivisa per i comandi e l’estrazione dei dati e lascia poche tracce operative sulla macchina infettata. Il backdoor M2RAT agisce come un trojan di accesso remoto che esegue il keylogging, il furto di dati, l’esecuzione dei comandi e la cattura degli screenshot dal desktop. Il malware supporta i comandi che raccolgono informazioni dal dispositivo infettato e le inviano al server C2 per la revisione degli attaccanti. M2RAT ha la capacità di individuare i dispositivi portatili connessi al computer Windows, come gli smartphone o i tablet, e, se viene rilevato, esegue una scansione dei contenuti del dispositivo alla ricerca di file di documenti e registrazione vocale e, se trovati, li copia sul PC per l’estrazione al server dell’attaccante. Il malware usa una sezione di memoria condivisa per la comunicazione di controllo dei comandi, l’estrazione dei dati e il trasferimento diretto dei dati rubati al C2 senza memorizzarli nel sistema compromesso. APT37 continua a rinfrescare il suo set di strumenti personalizzati con malware evasivi che sono difficili da rilevare e analizzare, soprattutto quando i bersagli sono individui che non dispongono degli strumenti di rilevamento delle minacce sofisticati delle organizzazioni più grandi.