بدافزار EarlyRat

محققان امنیت سایبری متوجه شده اند که بازیگر تهدید Andariel، مرتبط با کره شمالی، زرادخانه خود را با استفاده از یک بدافزار تازه کشف شده به نام EarlyRat گسترش داده است. ابزار مخرب ناشناخته قبلی توسط عوامل تهدید در کمپین های فیشینگ به کار گرفته شده است. این افزوده دامنه وسیع ابزارها و تاکتیک های Andariel را بیشتر می کند.

برای آلوده کردن ماشین‌های هدفمند، مجرمان سایبری Andariel از یک سوء استفاده Log4j استفاده می‌کنند و از آسیب‌پذیری‌ها در کتابخانه Log4j استفاده می‌کنند. از طریق این اکسپلویت، عامل تهدید به سیستم در معرض خطر دسترسی پیدا می‌کند و اقدام به دانلود بدافزار اضافی از سرور Command-and-Control (C2) عملیات حمله می‌کند.

Andariel به دیگر گروه های هکر کره شمالی متصل است

Andariel که با نام مستعار Silent Chollima و Stonefly نیز شناخته می شود، تحت چتر گروه Lazarus در کنار سایر عناصر تابعه مانند APT38 (معروف به BlueNoroff) فعالیت می کند. این عامل تهدید همچنین با آزمایشگاه 110، یک واحد هک برجسته مستقر در کره شمالی مرتبط است.

فعالیت‌های آندریل شامل طیف وسیعی از عملیات‌ها، از جمله جاسوسی برای هدف قرار دادن دولت‌ها و نهادهای نظامی خارجی با منافع استراتژیک است. علاوه بر این، این گروه برای ایجاد درآمد اضافی برای کشوری که تحت تحریم های شدید قرار دارد، به فعالیت های جرایم سایبری می پردازد.

زرادخانه Andariel شامل سلاح های سایبری مختلفی از جمله باج افزار بدنام Maui است. علاوه بر این، این گروه از تروجان‌ها و درهای پشتی دسترسی از راه دور متعددی مانند Dtrack (همچنین به عنوان Valefor و Preft شناخته می‌شود)، NukeSped (معروف به Manuscrypt)، MagicRAT و YamaBot استفاده می‌کند.

NukeSped، به طور خاص، دارای مجموعه گسترده ای از قابلیت ها است که آن را قادر می سازد تا فرآیندها را ایجاد و خاتمه دهد، و همچنین فایل ها را بر روی هاست در معرض خطر دستکاری کند. قابل ذکر است، استفاده از NukeSped با کمپین معروف به TraderTraitor که توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) ردیابی شده است، همپوشانی دارد.

بهره‌برداری Andariel از آسیب‌پذیری Log4Shell در سرورهای VMware Horizon وصله‌نشده، قبلاً توسط AhnLab Security Emergency Response Center (ASEC) و Cisco Talos در سال 2022 مستند شده بود و تلاش‌های مداوم این گروه را برای تسلیح‌سازی آسیب‌پذیری‌های نوظهور برجسته می‌کرد.

EarlyRat اطلاعات را جمع آوری می کند و دستورات نفوذی را روی دستگاه های شکسته اجرا می کند

بدافزار EarlyRat از طریق ایمیل های فیشینگ که حاوی اسناد فریبنده مایکروسافت ورد هستند پخش می شود. پس از باز کردن این فایل‌ها، از گیرندگان خواسته می‌شود که ماکروها را فعال کنند، و اجرای کد VBA مسئول دانلود تهدید را آغاز می‌کند.

EarlyRat به عنوان یک درب پشتی ساده و در عین حال محدود شناخته می شود که برای جمع آوری و انتقال اطلاعات سیستم به یک سرور راه دور طراحی شده است. علاوه بر این، قابلیت اجرای دستورات دلخواه را نیز دارد. قابل ذکر است، با وجود اینکه با استفاده از فریمورک های مختلف نوشته شده است، شباهت های قابل توجهی بین EarlyRat و MagicRAT وجود دارد. EarlyRat از PureBasic استفاده می کند، در حالی که MagicRAT از چارچوب Qt استفاده می کند.

در زمینه حملاتی که از آسیب‌پذیری Log4j Log4Shell استفاده می‌کنند، که در سال گذشته مشاهده شده بود، تاکتیکی که قبلاً دیده نشده بود اکنون ظاهر شده است. مشاهده شده است که مهاجمان از ابزارهای قانونی خارج از قفسه، مانند 3Proxy ، ForkDump، NTDSDumpEx، Powerline و PuTTY برای سوء استفاده بیشتر از اهداف و دستگاه های در معرض خطر خود استفاده می کنند. این رویکرد به آنها اجازه می دهد تا از ابزارهای موجود برای فعالیت های مخرب خود استفاده کنند و پیچیدگی و تأثیر بالقوه حملات را افزایش دهند.