EarlyRat البرامج الضارة

لاحظ باحثو الأمن السيبراني أن ممثل التهديد Andariel ، المرتبط بكوريا الشمالية ، قد وسع ترسانته من خلال استخدام برنامج ضار تم اكتشافه حديثًا يسمى EarlyRat. تم نشر الأداة الخبيثة غير المعروفة سابقًا من قبل الجهات الفاعلة في التهديد في حملات التصيد الاحتيالي. تعزز هذه الإضافة مجموعة Andariel الواسعة من الأدوات والتكتيكات.

لإصابة الأجهزة المستهدفة ، يستفيد مجرمو الإنترنت في Andariel من استغلال Log4j ، مما يزيد من نقاط الضعف في مكتبة تسجيل Log4j. من خلال هذا الاستغلال ، يتمكن الفاعل من الوصول إلى النظام المخترق ويواصل تنزيل برامج ضارة إضافية من خادم القيادة والتحكم (C2) لعملية الهجوم.

Andariel متصل بمجموعات قراصنة كورية شمالية أخرى

Andariel ، المعروف أيضًا باسمي مستعار Silent Chollima و Stonefly ، يعمل تحت مظلة مجموعة Lazarus جنبًا إلى جنب مع عناصر ثانوية أخرى مثل APT38 (المعروف أيضًا باسم BlueNoroff). يرتبط ممثل التهديد هذا أيضًا بـ Lab 110 ، وهي وحدة قرصنة بارزة مقرها في كوريا الشمالية.

تشمل أنشطة Andariel مجموعة من العمليات ، بما في ذلك التجسس الذي يستهدف الحكومة الأجنبية والكيانات العسكرية ذات الأهمية الاستراتيجية. بالإضافة إلى ذلك ، تشارك المجموعة في أنشطة الجرائم الإلكترونية لتوليد دخل إضافي للأمة ، التي تخضع لعقوبات شديدة.

تضم ترسانة Andariel العديد من الأسلحة السيبرانية ، بما في ذلك Maui Ransomware سيئ السمعة. بالإضافة إلى ذلك ، تستخدم المجموعة العديد من أحصنة طروادة والأبواب الخلفية ، مثل Dtrack (المعروف أيضًا باسم Valefor و Preft) و NukeSped (المعروف أيضًا باسم Manuscrypt) و MagicRAT و YamaBot .

تمتلك NukeSped ، على وجه الخصوص ، مجموعة واسعة من القدرات التي تمكنها من إنشاء العمليات وإنهائها ، بالإضافة إلى معالجة الملفات الموجودة على المضيف المخترق. والجدير بالذكر أن استخدام NukeSped يتداخل مع حملة تعرف باسم TraderTraitor ، والتي تتبعها وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA).

تم توثيق استغلال Andariel لثغرة Log4Shell في خوادم VMware Horizon غير المصححة مسبقًا من قبل AhnLab Security Emergency Response Center (ASEC) و Cisco Talos في عام 2022 ، مما يسلط الضوء على جهود المجموعة المستمرة لتسليح نقاط الضعف الناشئة.

تجمع EarlyRat المعلومات وتنفذ أوامر تطفلية على الأجهزة التي تم اختراقها

تنتشر البرامج الضارة EarlyRat من خلال رسائل البريد الإلكتروني المخادعة التي تحتوي على مستندات Microsoft Word مضللة. عند فتح هذه الملفات ، يُطلب من المستلمين تمكين وحدات الماكرو ، مما يؤدي إلى تشغيل رمز VBA المسؤول عن تنزيل التهديد.

يتميز EarlyRat بأنه باب خلفي مباشر ولكنه محدود ، مصمم لجمع معلومات النظام ونقلها إلى خادم بعيد. بالإضافة إلى ذلك ، لديها القدرة على تنفيذ أوامر عشوائية. والجدير بالذكر أن هناك أوجه تشابه ملحوظة بين EarlyRat و MagicRAT ، على الرغم من كتابتها باستخدام أطر عمل مختلفة. يستخدم EarlyRat PureBasic ، بينما يستخدم MagicRAT إطار عمل Qt.

في سياق الهجمات التي تستغل ثغرة Log4j Log4Shell التي لوحظت في العام السابق ، ظهر الآن تكتيك غير مرئي من قبل. لوحظ أن المهاجمين يستخدمون أدوات شرعية جاهزة ، مثل 3Proxy و ForkDump و NTDSDumpEx و Powerline و PuTTY ، لاستغلال أهدافهم والأجهزة المخترقة بشكل أكبر. يتيح لهم هذا النهج الاستفادة من الأدوات الموجودة لأنشطتهم الخبيثة ، مما يزيد من التعقيد والتأثير المحتمل للهجمات.