EarlyRat pahavara

Küberjulgeoleku uurijad on märganud, et Põhja-Koreaga seotud ohunäitleja Andariel on oma arsenali laiendanud, kasutades selleks äsja avastatud pahavara nimega EarlyRat. Varem tundmatu pahatahtliku tööriista on andmepüügikampaaniates kasutusele võtnud ohus osalejad. See täiendus täiustab veelgi Andarieli laia valikut tööriistu ja taktikaid.

Andarieli küberkurjategijad kasutavad sihitud masinate nakatamiseks ära Log4j ärakasutamist, võimendades Log4j logiteegi turvaauke. Selle ärakasutamise kaudu saab ohustaja juurdepääsu ohustatud süsteemile ja laadib ründeoperatsiooni Command-and-Control (C2) serverist alla täiendava pahavara.

Andariel on seotud teiste Põhja-Korea häkkerirühmadega

Andariel, tuntud ka varjunimede Silent Chollima ja Stonefly all, tegutseb Lazarus Groupi katuse all koos teiste alluvate elementidega, nagu APT38 (teise nimega BlueNoroff). Seda ohutegijat seostatakse ka Põhja-Koreas asuva silmapaistva häkkimisüksuse Lab 110-ga.

Andarieli tegevus hõlmab mitmesuguseid operatsioone, sealhulgas spionaaži, mis on suunatud välisriikide valitsuste ja strateegilist huvi pakkuvate sõjaväeüksuste vastu. Lisaks tegeleb rühmitus küberkuritegevusega, et teenida riigile täiendavat sissetulekut, mille suhtes kohaldatakse rangeid sanktsioone.

Andarieli arsenal sisaldab erinevaid küberrelvi, sealhulgas kurikuulus Maui Ransomware. Lisaks kasutab grupp arvukalt kaugjuurdepääsu troojalasi ja tagauksi, nagu Dtrack (tuntud ka kui Valefor ja Preft), NukeSped (teise nimega Manuscrypt), MagicRAT ja YamaBot .

Eelkõige NukeSpedil on lai valik võimalusi, mis võimaldavad tal luua ja lõpetada protsesse ning manipuleerida kahjustatud hostis olevaid faile. Eelkõige kattub NukeSpedi kasutamine TraderTraitori nime all tuntud kampaaniaga, mida on jälginud USA küberturvalisuse ja infrastruktuuri turvaagentuur (CISA).

Andarieli Log4Shelli haavatavuse ärakasutamise paigata VMware Horizon serverites dokumenteerisid varem AhnLab Security Emergency Response Center (ASEC) ja Cisco Talos 2022. aastal, rõhutades grupi jätkuvaid jõupingutusi tekkivate turvaaukude relvastamiseks.

EarlyRat kogub teavet ja täidab rikutud seadmetes pealetükkivaid käske

EarlyRati pahavara levib andmepüügimeilide kaudu, mis sisaldavad eksitavaid Microsoft Wordi dokumente. Nende failide avamisel palutakse adressaatidel lubada makrod, mis käivitavad ohu allalaadimise eest vastutava VBA-koodi täitmise.

EarlyRati iseloomustatakse kui lihtsat, kuid piiratud tagaust, mis on loodud süsteemiteabe kogumiseks ja edastamiseks kaugserverisse. Lisaks on sellel võime täita suvalisi käske. Eelkõige on EarlyRati ja MagicRATi vahel märkimisväärseid sarnasusi, hoolimata sellest, et need on kirjutatud erinevaid raamistikke kasutades. EarlyRat kasutab PureBasicut, MagicRAT aga Qt raamistikku.

Eelmisel aastal täheldatud Log4j Log4Shelli haavatavust ära kasutavate rünnakute kontekstis on nüüd esile kerkinud seninägematu taktika. On täheldatud, et ründajad kasutavad oma sihtmärkide ja ohustatud seadmete edasiseks ärakasutamiseks seaduslikke valmistööriistu, nagu 3Proxy , ForkDump, NTDSDumpEx, Powerline ja PuTTY . See lähenemisviis võimaldab neil kasutada olemasolevaid tööriistu oma pahatahtlikuks tegevuseks, suurendades rünnakute keerukust ja võimalikku mõju.