EarlyRat Malware

Cybersikkerhedsforskere har bemærket, at trusselsaktøren Andariel, der er tilknyttet Nordkorea, har udvidet sit arsenal ved at bruge en nyopdaget malware kaldet EarlyRat. Det hidtil ukendte ondsindede værktøj er blevet implementeret af trusselsaktørerne i phishing-kampagner. Denne tilføjelse forbedrer Andariels omfattende udvalg af værktøjer og taktikker yderligere.

For at inficere målrettede maskiner, drager Andariel-cyberkriminelle fordel af en Log4j-udnyttelse, der udnytter sårbarheder i Log4j-logningsbiblioteket. Gennem denne udnyttelse får trusselsaktøren adgang til det kompromitterede system og fortsætter med at downloade yderligere malware fra Command-and-Control-serveren (C2) for angrebsoperationen.

Andariel er forbundet med andre nordkoreanske hackergrupper

Andariel, også kendt under aliaserne Silent Chollima og Stonefly, opererer under paraplyen af Lazarus Group sammen med andre underordnede elementer såsom APT38 (aka BlueNoroff). Denne trusselsaktør er også forbundet med Lab 110, en fremtrædende hackingenhed baseret i Nordkorea.

Andariels aktiviteter omfatter en række operationer, herunder spionage rettet mod udenlandsk regering og militære enheder af strategisk interesse. Derudover engagerer gruppen sig i cyberkriminalitet for at generere supplerende indkomst til nationen, som er under hårde sanktioner.

Andariels arsenal omfatter forskellige cybervåben, inklusive den berygtede Maui Ransomware. Derudover bruger gruppen adskillige trojanske heste og bagdøre med fjernadgang, såsom Dtrack (også kendt som Valefor og Preft), NukeSped (alias Manuscrypt), MagicRAT og YamaBot .

Især NukeSped besidder en bred vifte af muligheder, der gør den i stand til at oprette og afslutte processer, samt manipulere filer på den kompromitterede vært. Navnlig overlapper brugen af NukeSped med en kampagne kendt som TraderTraitor, som er blevet sporet af US Cybersecurity and Infrastructure Security Agency (CISA).

Andariels udnyttelse af Log4Shell-sårbarheden i upatchede VMware Horizon-servere blev tidligere dokumenteret af AhnLab Security Emergency Response Center (ASEC) og Cisco Talos i 2022, hvilket fremhæver gruppens igangværende bestræbelser på at bevæbne nye sårbarheder.

EarlyRat indsamler oplysninger og udfører påtrængende kommandoer på de overtrådte enheder

EarlyRat-malwaren spreder sig gennem phishing-e-mails, der indeholder vildledende Microsoft Word-dokumenter. Når disse filer åbnes, bliver modtagerne bedt om at aktivere makroer, hvilket udløser udførelsen af den VBA-kode, der er ansvarlig for at downloade truslen.

EarlyRat er karakteriseret som en ligetil, men begrænset bagdør, designet til at indsamle og overføre systeminformation til en ekstern server. Derudover har den mulighed for at udføre vilkårlige kommandoer. Især er der bemærkelsesværdige ligheder mellem EarlyRat og MagicRAT, på trods af at de er skrevet ved hjælp af forskellige rammer. EarlyRat bruger PureBasic, mens MagicRAT anvender Qt Framework.

I forbindelse med angreb, der udnytter Log4j Log4Shell-sårbarheden observeret i det foregående år, er en hidtil uset taktik nu dukket op. Angribere er blevet observeret bruge legitime hyldeværktøjer, såsom 3Proxy , ForkDump, NTDSDumpEx, Powerline og PuTTY , for at udnytte deres mål og kompromitterede enheder yderligere. Denne tilgang giver dem mulighed for at udnytte eksisterende værktøjer til deres ondsindede aktiviteter, hvilket øger angrebenes sofistikerede og potentielle virkning.