Κακόβουλο λογισμικό EarlyRat

Οι ερευνητές στον τομέα της κυβερνοασφάλειας παρατήρησαν ότι ο ηθοποιός της απειλής Andariel, που σχετίζεται με τη Βόρεια Κορέα, έχει επεκτείνει το οπλοστάσιό του χρησιμοποιώντας ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα με το όνομα EarlyRat. Το προηγουμένως άγνωστο κακόβουλο εργαλείο έχει αναπτυχθεί από τους φορείς απειλών σε εκστρατείες phishing. Αυτή η προσθήκη ενισχύει περαιτέρω την εκτεταμένη γκάμα εργαλείων και τακτικών του Andariel.

Για να μολύνουν στοχευμένα μηχανήματα, οι κυβερνοεγκληματίες Andariel εκμεταλλεύονται ένα εκμετάλλευση Log4j, αξιοποιώντας ευπάθειες στη βιβλιοθήκη καταγραφής Log4j. Μέσω αυτής της εκμετάλλευσης, ο παράγοντας απειλής αποκτά πρόσβαση στο παραβιασμένο σύστημα και προχωρά στη λήψη πρόσθετου κακόβουλου λογισμικού από τον διακομιστή Command-and-Control (C2) της λειτουργίας επίθεσης.

Ο Andariel είναι συνδεδεμένος με άλλες βορειοκορεατικές ομάδες χάκερ

Ο Andariel, γνωστός και με τα ψευδώνυμα Silent Chollima και Stonefly, λειτουργεί υπό την ομπρέλα του Ομίλου Lazarus μαζί με άλλα δευτερεύοντα στοιχεία όπως το APT38 (γνωστός και ως BlueNoroff). Αυτός ο παράγοντας απειλής συνδέεται επίσης με το Lab 110, μια εξέχουσα μονάδα hacking με έδρα τη Βόρεια Κορέα.

Οι δραστηριότητες του Andariel περιλαμβάνουν μια σειρά από επιχειρήσεις, συμπεριλαμβανομένης της κατασκοπείας που στοχεύει ξένες κυβερνητικές και στρατιωτικές οντότητες στρατηγικού ενδιαφέροντος. Επιπλέον, η ομάδα εμπλέκεται σε δραστηριότητες εγκλήματος στον κυβερνοχώρο για να δημιουργήσει συμπληρωματικό εισόδημα για το έθνος, το οποίο τελεί υπό βαριές κυρώσεις.

Το οπλοστάσιο του Andariel περιλαμβάνει διάφορα όπλα στον κυβερνοχώρο, συμπεριλαμβανομένου του διαβόητου Maui Ransomware. Επιπλέον, η ομάδα χρησιμοποιεί πολυάριθμους Trojan και backdoors απομακρυσμένης πρόσβασης, όπως το Dtrack (γνωστό και ως Valefor και Preft), το NukeSped (γνωστό και ως Manuscrypt), το MagicRAT και το YamaBot .

Το NukeSped, ειδικότερα, διαθέτει ένα ευρύ φάσμα δυνατοτήτων που του επιτρέπουν να δημιουργεί και να τερματίζει διαδικασίες, καθώς και να χειρίζεται αρχεία στον παραβιασμένο κεντρικό υπολογιστή. Συγκεκριμένα, η χρήση του NukeSped επικαλύπτεται με μια καμπάνια γνωστή ως TraderTraitor, η οποία παρακολουθείται από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).

Η εκμετάλλευση της ευπάθειας Log4Shell από τον Andariel σε μη επιδιορθωμένους διακομιστές VMware Horizon είχε προηγουμένως τεκμηριωθεί από το AhnLab Security Emergency Response Center (ASEC) και τη Cisco Talos το 2022, υπογραμμίζοντας τις συνεχείς προσπάθειες της ομάδας να εξοπλίσει τις αναδυόμενες ευπάθειες.

Το EarlyRat συλλέγει πληροφορίες και εκτελεί παρεμβατικές εντολές στις συσκευές που έχουν παραβιαστεί

Το κακόβουλο λογισμικό EarlyRat εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν παραπλανητικά έγγραφα του Microsoft Word. Με το άνοιγμα αυτών των αρχείων, ζητείται από τους παραλήπτες να ενεργοποιήσουν τις μακροεντολές, ενεργοποιώντας την εκτέλεση του κώδικα VBA που είναι υπεύθυνος για τη λήψη της απειλής.

Το EarlyRat χαρακτηρίζεται ως μια απλή αλλά περιορισμένη κερκόπορτα, σχεδιασμένη να συλλέγει και να μεταδίδει πληροφορίες συστήματος σε έναν απομακρυσμένο διακομιστή. Επιπλέον, έχει τη δυνατότητα να εκτελεί αυθαίρετες εντολές. Σημειωτέον, υπάρχουν αξιοσημείωτες ομοιότητες μεταξύ του EarlyRat και του MagicRAT, παρά το γεγονός ότι έχουν γραφτεί χρησιμοποιώντας διαφορετικά πλαίσια. Το EarlyRat χρησιμοποιεί το PureBasic, ενώ το MagicRAT χρησιμοποιεί το Qt Framework.

Στο πλαίσιο επιθέσεων που εκμεταλλεύονται την ευπάθεια Log4j Log4Shell που παρατηρήθηκε το προηγούμενο έτος, μια τακτική που δεν είχε προηγουμένως εμφανιστεί έχει πλέον εμφανιστεί. Έχει παρατηρηθεί ότι οι εισβολείς κάνουν χρήση νόμιμων εργαλείων, όπως τα 3Proxy , ForkDump, NTDSDumpEx, Powerline και PuTTY , για να εκμεταλλευτούν περαιτέρω τους στόχους τους και τις παραβιασμένες συσκευές τους. Αυτή η προσέγγιση τους επιτρέπει να αξιοποιήσουν τα υπάρχοντα εργαλεία για τις κακόβουλες δραστηριότητές τους, αυξάνοντας την πολυπλοκότητα και τον πιθανό αντίκτυπο των επιθέσεων.