EarlyRat-haittaohjelma

Kyberturvallisuustutkijat ovat havainneet, että Pohjois-Koreaan liittyvä uhkatekijä Andariel on laajentanut arsenaaliaan hyödyntämällä äskettäin löydettyä EarlyRat-haittaohjelmaa. Uhkatoimijat ovat ottaneet käyttöön aiemmin tuntemattoman haitallisen työkalun tietojenkalastelukampanjoissa. Tämä lisäys parantaa entisestään Andarielin laajaa työkalu- ja taktiikkavalikoimaa.

Andariel-verkkorikolliset hyödyntävät Log4j-hyödynnystä ja hyödyntävät Log4j-lokikirjaston haavoittuvuuksia tartuttaakseen kohdekoneet. Tämän hyväksikäytön kautta uhkatekijä saa pääsyn vaarantuneeseen järjestelmään ja jatkaa lisähaittaohjelmien lataamista hyökkäysoperaation Command-and-Control (C2) -palvelimelta.

Andariel on yhteydessä muihin pohjoiskorealaisiin hakkeriryhmiin

Andariel, joka tunnetaan myös aliaksilla Silent Chollima ja Stonefly, toimii Lazarus Groupin alaisuudessa muiden alisteisten elementtien, kuten APT38:n (alias BlueNoroffin) ohella. Tämä uhkatekijä yhdistetään myös Lab 110:een, joka on Pohjois-Koreassa sijaitseva merkittävä hakkerointiyksikkö.

Andarielin toimintaan kuuluu erilaisia operaatioita, mukaan lukien vakoilu, joka kohdistuu strategisesti kiinnostaviin ulkomaisiin viranomaisiin ja sotilasyksiköihin. Lisäksi ryhmä harjoittaa kyberrikollisuutta tuottaakseen lisätuloa kansakunnalle, joka on rankkojen sanktioiden kohteena.

Andarielin arsenaali sisältää erilaisia kyberaseita, mukaan lukien pahamaineinen Maui Ransomware. Lisäksi ryhmä käyttää lukuisia etäkäyttötroijalaisia ja takaovia, kuten Dtrack (tunnetaan myös nimellä Valefor ja Preft), NukeSped (alias Manuscrypt), MagicRAT ja YamaBot .

Erityisesti NukeSpedillä on laaja valikoima ominaisuuksia, joiden avulla se voi luoda ja lopettaa prosesseja sekä käsitellä tiedostoja vaarantuneessa isännässä. Erityisesti NukeSpedin käyttö on päällekkäistä TraderTraitor-kampanjan kanssa, jota US Cybersecurity and Infrastructure Security Agency (CISA) on seurannut.

AhnLab Security Emergency Response Center (ASEC) ja Cisco Talos dokumentoivat Andarielin Log4Shell-haavoittuvuuden hyväksikäytön korjaamattomissa VMware Horizon -palvelimissa vuonna 2022, mikä korostaa ryhmän jatkuvia ponnisteluja uusien haavoittuvuuksien asettamiseksi.

EarlyRat kerää tietoja ja suorittaa häiritseviä komentoja rikkoutuneilla laitteilla

EarlyRat-haittaohjelma leviää tietojenkalasteluviestien kautta, jotka sisältävät harhaanjohtavia Microsoft Word -asiakirjoja. Kun nämä tiedostot avataan, vastaanottajia kehotetaan ottamaan käyttöön makrot, jotka käynnistävät uhan lataamisesta vastaavan VBA-koodin suorittamisen.

EarlyRat on luonnehdittu yksinkertaiseksi mutta rajoitetuksi takaoveksi, joka on suunniteltu keräämään ja lähettämään järjestelmätietoja etäpalvelimelle. Lisäksi se pystyy suorittamaan mielivaltaisia komentoja. Erityisesti EarlyRatin ja MagicRATin välillä on huomattavia yhtäläisyyksiä, vaikka ne on kirjoitettu eri kehyksiä käyttäen. EarlyRat käyttää PureBasicia, kun taas MagicRAT käyttää Qt Frameworkia.

Edellisenä vuonna havaittujen Log4j Log4Shell -haavoittuvuutta hyödyntävien hyökkäysten yhteydessä on nyt noussut esiin ennennäkemätön taktiikka. Hyökkääjien on havaittu käyttävän laillisia valmiita työkaluja, kuten 3Proxy , ForkDump, NTDSDumpEx, Powerline ja PuTTY hyödyntääkseen kohteitaan ja vaarantuneita laitteitaan edelleen. Tämän lähestymistavan avulla he voivat hyödyntää olemassa olevia työkaluja haitallisiin toimintoihinsa, mikä lisää hyökkäysten kehittyneisyyttä ja mahdollista vaikutusta.