Зловреден софтуер EarlyRat

Изследователите на киберсигурността са забелязали, че заплахата Andariel, свързана със Северна Корея, е разширила своя арсенал, като е използвала новооткрит зловреден софтуер, наречен EarlyRat. Неизвестният досега злонамерен инструмент е бил внедрен от участниците в заплахите във фишинг кампании. Това допълнение допълнително подобрява широката гама от инструменти и тактики на Andariel.

За да заразят целевите машини, киберпрестъпниците Andariel се възползват от експлойт на Log4j, използвайки уязвимостите в библиотеката за регистриране на Log4j. Чрез този експлойт заплахата получава достъп до компрометираната система и продължава да изтегля допълнителен зловреден софтуер от сървъра за командване и управление (C2) на операцията на атаката.

Andariel е свързан с други севернокорейски хакерски групи

Andariel, известен също с псевдонимите Silent Chollima и Stonefly, работи под егидата на Lazarus Group заедно с други подчинени елементи като APT38 (известен още като BlueNoroff). Тази заплаха също е свързана с Lab 110, известна хакерска единица, базирана в Северна Корея.

Дейностите на Andariel обхващат набор от операции, включително шпионаж, насочен към чужди правителствени и военни организации от стратегически интерес. Освен това групата се занимава с киберпрестъпни дейности, за да генерира допълнителен доход за нацията, която е под тежки санкции.

Арсеналът на Andariel се състои от различни кибер оръжия, включително прословутия Maui Ransomware. Освен това групата използва множество троянски коне за отдалечен достъп и задни вратички, като Dtrack (известен също като Valefor и Preft), NukeSped (известен още като Manuscrypt), MagicRAT и YamaBot .

NukeSped, по-специално, притежава широк набор от възможности, които му позволяват да създава и прекратява процеси, както и да манипулира файлове на компрометирания хост. По-специално, използването на NukeSped се припокрива с кампания, известна като TraderTraitor, която е проследена от Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA).

Експлоатацията на Andariel на уязвимостта на Log4Shell в необработени сървъри на VMware Horizon беше документирана по-рано от AhnLab Security Emergency Response Center (ASEC) и Cisco Talos през 2022 г., подчертавайки продължаващите усилия на групата да въоръжи възникващите уязвимости.

EarlyRat събира информация и изпълнява натрапчиви команди на пробитите устройства

Зловреден софтуер EarlyRat се разпространява чрез фишинг имейли, които съдържат измамни документи на Microsoft Word. При отваряне на тези файлове, получателите са подканени да активират макроси, задействайки изпълнението на VBA кода, отговорен за изтеглянето на заплахата.

EarlyRat се характеризира като проста, но ограничена задна врата, предназначена да събира и предава системна информация към отдалечен сървър. Освен това има способността да изпълнява произволни команди. Трябва да се отбележи, че има забележителни прилики между EarlyRat и MagicRAT, въпреки че са написани с помощта на различни рамки. EarlyRat използва PureBasic, докато MagicRAT използва Qt Framework.

В контекста на атаките, използващи уязвимостта на Log4j Log4Shell, наблюдавани през предходната година, сега се появи невиждана досега тактика. Нападателите са наблюдавани да използват легитимни готови инструменти, като 3Proxy , ForkDump, NTDSDumpEx, Powerline и PuTTY , за да експлоатират допълнително своите цели и компрометирани устройства. Този подход им позволява да използват съществуващите инструменти за своите злонамерени дейности, увеличавайки сложността и потенциалното въздействие на атаките.