【不留痕迹】北韓間諜集團開發新軟件 結合圖像隱碼術專攻南韓人

    北韓網絡間諜集團 APT37 被發現開發出一種新的間諜軟件 M2RAT,這款針對南韓個人人士的攻擊,特別之處是結合了圖像隱碼術(steganography)及與 C&C 控制中心共享儲存資源,兩者都能減低被網絡安全工具偵測的風險及調查難度。

    網絡安全中心 AhnLab Security Emergency Response Center 研究員,在新一份調查報告指出,APT37(又稱為 RedEyes 或 ScarCruft)這次攻擊,使用的是南韓市民常用的文字編輯工具 Hangul 的 EPS 漏洞,因此判斷這波攻擊的目標,是從南韓特定人士手上竊取含智識產權的資料。

    雖然入侵的起點同樣是以釣魚電郵開始,引誘目標人士打開內含惡意 shellcode 的電郵附件,從而啟動入侵程序,但研究員說在下載額外惡意負載及盜取機密資料的手法上頗有新意。

    為了能夠成功將 M2RAT 的惡意負載安全下載到目標電腦,黑客會先將程式碼打包到一張 JPG 圖案內,當圖片真正下載到電腦,才從中解譯出惡意編碼並執行,這種稱為圖像隱碼術的攻擊手法,以往也曾被其他黑客所使用。

    例如曾有個案發現,黑客將惡意編碼隱藏在網頁圖標 Favicon 內並上傳開源資料庫,靜待網絡開發者下載使用,如被應用於網站上,其惡意編碼將可盜取平台上的任何信用卡交易輸入資料。又如去年內地網民亦發現,知乎網站上的相片及圖片,都以圖像隱碼術隱藏相片來源,以防網民偷偷轉載或使用。由於惡意編碼已被加密,因此網絡安全工具一般無法攔截。

    研究員說 M2RAT 成功入侵後,會定期截取屏幕畫面、記錄鍵盤輸入資料及盜取電腦內有用資料,比較特別的是,M2RAT 還會偵測是否有其他裝置如手機、USB 手指正與電腦連接,如有發現亦會一併搜索有用檔案,所有資料將會被打包成一個有密碼保護的 RAR 壓縮檔再外傳黑客的控制中心。

    研究員指出,由於黑客設定使用與控制中心共享記憶體關係,所以數據都會直接外傳,並會銷毁受感染電腦內的副本,因此大大增加被發現的機會,同時即使被發現,IT 人員只能通過詳細分析電腦內記憶體殘存資料,令調查難度大增。

    從這次攻擊可見,APT37 正在持續更新他們的入侵工具及方式,每次升級也會加強隱身能力及減少留下任何痕跡。這些方法對攻擊個別人士特別有效,因為他們往往缺乏先進的網絡安全工具保護,而一般用家只能更加小心,切勿胡亂打開任何檔案或連結。

    資料來源:https://www.bleepingcomputer.com/news/security/redeyes-hackers-use-new-malware-to-steal-data-from-windows-phones/

    相關文章:【安全貼士】追蹤軟件被罰41萬美元 用家嚴防被監控必做幾件事

    #APT37 #CyberAttack #CyberSecurity #M2RAT #RedEyes #ScarCruft #北韓間諜 #網絡保安

    相關文章