Programari maliciós EarlyRat

Els investigadors de ciberseguretat s'han adonat que l'actor d'amenaces Andariel, associat a Corea del Nord, ha ampliat el seu arsenal utilitzant un programari maliciós recentment descobert anomenat EarlyRat. L'eina maliciosa fins ara desconeguda ha estat desplegada pels actors de l'amenaça en campanyes de pesca. Aquesta addició millora encara més l'ampli ventall d'eines i tàctiques d'Andariel.

Per infectar les màquines dirigides, els ciberdelinqüents d'Andariel aprofiten un exploit Log4j, aprofitant les vulnerabilitats de la biblioteca de registre Log4j. Mitjançant aquesta explotació, l'actor de l'amenaça accedeix al sistema compromès i procedeix a descarregar programari maliciós addicional del servidor de comandament i control (C2) de l'operació d'atac.

Andariel està connectat amb altres grups de pirates informàtics de Corea del Nord

Andariel, també conegut amb els àlies Silent Chollima i Stonefly, opera sota el paraigua del Grup Lazarus al costat d'altres elements subordinats com APT38 (també conegut com BlueNoroff). Aquest actor d'amenaces també està associat amb Lab 110, una destacada unitat de pirateria amb seu a Corea del Nord.

Les activitats d'Andariel abasten una sèrie d'operacions, inclòs l'espionatge dirigit a governs estrangers i entitats militars d'interès estratègic. A més, el grup es dedica a activitats de ciberdelinqüència per generar ingressos suplementaris per a la nació, que està sotmesa a fortes sancions.

L'arsenal d' Andariel inclou diverses armes cibernètiques, inclòs el famós Maui Ransomware. A més, el grup utilitza nombrosos troians d'accés remot i portes posteriors, com ara Dtrack (també conegut com Valefor i Preft), NukeSped (també conegut com Manuscrypt), MagicRAT i YamaBot .

NukeSped, en particular, posseeix una àmplia gamma de capacitats que li permeten crear i finalitzar processos, així com manipular fitxers a l'amfitrió compromès. En particular, l'ús de NukeSped es solapa amb una campanya coneguda com TraderTraitor, que ha estat rastrejada per l'Agència de seguretat cibernètica i d'infraestructura (CISA) dels Estats Units.

L'explotació d'Andariel de la vulnerabilitat Log4Shell en servidors VMware Horizon sense pegats va ser documentada prèviament per AhnLab Security Emergency Response Center (ASEC) i Cisco Talos el 2022, destacant els esforços en curs del grup per armar les vulnerabilitats emergents.

EarlyRat recopila informació i executa ordres intrusives als dispositius trencats

El programari maliciós EarlyRat es propaga a través de correus electrònics de pesca que contenen documents de Microsoft Word enganyosos. En obrir aquests fitxers, se'ls demana als destinataris que habilitin les macros, activant l'execució del codi VBA responsable de descarregar l'amenaça.

EarlyRat es caracteritza per ser una porta posterior senzilla però limitada, dissenyada per recopilar i transmetre informació del sistema a un servidor remot. A més, té la capacitat d'executar ordres arbitràries. En particular, hi ha semblances notables entre EarlyRat i MagicRAT, tot i estar escrits amb diferents marcs. EarlyRat utilitza PureBasic, mentre que MagicRAT utilitza Qt Framework.

En el context dels atacs que exploten la vulnerabilitat Log4j Log4Shell observats l'any anterior, ara ha sorgit una tàctica mai vista. S'ha observat que els atacants fan ús d'eines legítimes disponibles, com ara 3Proxy , ForkDump, NTDSDumpEx, Powerline i PuTTY , per explotar encara més els seus objectius i dispositius compromesos. Aquest enfocament els permet aprofitar les eines existents per a les seves activitats malicioses, augmentant la sofisticació i l'impacte potencial dels atacs.