EarlyRat Malware

Výzkumníci v oblasti kybernetické bezpečnosti si všimli, že hrozba Andariel, spojená se Severní Koreou, rozšířila svůj arzenál využitím nově objeveného malwaru zvaného EarlyRat. Dříve neznámý škodlivý nástroj byl nasazen aktéry hrozeb v phishingových kampaních. Tento přírůstek dále rozšiřuje rozsáhlou škálu Andarielových nástrojů a taktik.

K infikování cílových počítačů využívají kyberzločinci Andariel exploit Log4j, využívající zranitelnosti v logovací knihovně Log4j. Prostřednictvím tohoto zneužití získá aktér hrozby přístup k napadenému systému a pokračuje ve stahování dalšího malwaru ze serveru Command-and-Control (C2) útočné operace.

Andariel je propojena s dalšími severokorejskými hackerskými skupinami

Andariel, také známý pod přezdívkami Silent Chollima a Stonefly, působí pod záštitou skupiny Lazarus spolu s dalšími podřízenými prvky, jako je APT38 (aka BlueNoroff). Tento aktér ohrožení je také spojován s Lab 110, prominentní hackerskou jednotkou se sídlem v Severní Koreji.

Andarielovy aktivity zahrnují řadu operací, včetně špionáže zaměřené na zahraniční vládu a vojenské subjekty strategického zájmu. Kromě toho se skupina zapojuje do aktivit v oblasti kybernetické kriminality, aby vytvořila dodatečný příjem pro národ, který je pod přísnými sankcemi.

Arzenál Andariel zahrnuje různé kybernetické zbraně, včetně notoricky známého Maui Ransomware. Skupina navíc využívá četné trojské koně a zadní vrátka pro vzdálený přístup, jako jsou Dtrack (také známý jako Valefor a Preft), NukeSped (aka Manuscrypt), MagicRAT a YamaBot .

NukeSped má zejména širokou škálu schopností, které mu umožňují vytvářet a ukončovat procesy a také manipulovat se soubory na kompromitovaném hostiteli. Zejména se použití NukeSped překrývá s kampaní známou jako TraderTraitor, kterou sledovala americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).

Andarielovo využití zranitelnosti Log4Shell na neopravených serverech VMware Horizon bylo již dříve zdokumentováno AhnLab Security Emergency Response Center (ASEC) a Cisco Talos v roce 2022, což zdůrazňuje pokračující úsilí skupiny o vyzbrojení nově vznikajících zranitelností.

EarlyRat shromažďuje informace a provádí rušivé příkazy na narušených zařízeních

Malware EarlyRat se šíří prostřednictvím phishingových e-mailů, které obsahují klamavé dokumenty Microsoft Word. Po otevření těchto souborů jsou příjemci vyzváni, aby povolili makra, čímž se spustí spuštění kódu VBA odpovědného za stažení hrozby.

EarlyRat je charakterizován jako přímočará, ale omezená zadní vrátka, určená ke shromažďování a přenosu systémových informací na vzdálený server. Navíc má schopnost provádět libovolné příkazy. Je pozoruhodné, že mezi EarlyRat a MagicRAT existují značné podobnosti, přestože byly napsány pomocí různých rámců. EarlyRat využívá PureBasic, zatímco MagicRAT využívá Qt Framework.

V kontextu útoků využívajících zranitelnost Log4j Log4Shell pozorovaných v předchozím roce se nyní objevila dříve nevídaná taktika. Útočníci byli pozorováni při využívání legitimních běžně dostupných nástrojů, jako jsou 3Proxy , ForkDump, NTDSDumpEx, Powerline a PuTTY , aby dále využívali své cíle a kompromitovaná zařízení. Tento přístup jim umožňuje využít stávající nástroje pro jejich škodlivé aktivity, čímž se zvyšuje sofistikovanost a potenciální dopad útoků.