הנחות רישוי רב
Threat Database Malware תוכנת זדונית EarlyRat

תוכנת זדונית EarlyRat

עד Mezo ב-Malware, Advanced Persistent Threat (APT), Remote Administration Tools
לתרגם ל:
עברית

חוקרי אבטחת סייבר שמו לב ששחקן האיומים אנדריאל, המזוהה עם צפון קוריאה, הרחיב את הארסנל שלו על ידי שימוש בתוכנה זדונית שהתגלתה לאחרונה בשם EarlyRat. הכלי הזדוני שלא היה ידוע קודם לכן נפרס על ידי גורמי האיומים בקמפיינים דיוגים. תוספת זו משפרת עוד יותר את מגוון הכלים והטקטיקות הנרחב של אנדריאל.

כדי להדביק מכונות ממוקדות, פושעי הסייבר של Andriel מנצלים ניצול של Log4j, וממנפים נקודות תורפה בספריית הרישום של Log4j. באמצעות ניצול זה, שחקן האיום מקבל גישה למערכת שנפרצה וממשיך להוריד תוכנות זדוניות נוספות משרת הפקודה והבקרה (C2) של פעולת ההתקפה.

אנדריאל מחובר לקבוצות האקרים אחרות בצפון קוריאה

Andriel, הידוע גם בכינויים Silent Chollima ו-Stonefly, פועל תחת המטרייה של קבוצת לזרוס לצד אלמנטים כפופים אחרים כמו APT38 (המכונה BlueNoroff). שחקן האיום הזה קשור גם למעבדה 110, יחידת פריצה בולטת שבסיסה בצפון קוריאה.

פעילותו של אנדריאל מקיפה מגוון פעולות, כולל ריגול נגד ממשל זר וגופים צבאיים בעלי עניין אסטרטגי. בנוסף, הקבוצה עוסקת בפעילויות של פשעי סייבר כדי לייצר הכנסה נוספת עבור המדינה, שתחת סנקציות כבדות.

הארסנל של אנדריאל כולל כלי נשק סייבר שונים, כולל תוכנת הכופר הידועה לשמצה של Maui. בנוסף, הקבוצה משתמשת במספר טרויאנים ודלתות אחוריות עם גישה מרחוק, כגון Dtrack (הידוע גם בשם Valefor ו-Preft), NukeSped (המכונה Manuscrypt), MagicRAT ו- YamaBot .

NukeSped, במיוחד, מחזיקה במגוון רחב של יכולות המאפשרות לה ליצור ולסיים תהליכים, כמו גם לתפעל קבצים על המארח שנפרץ. יש לציין כי השימוש ב-NukeSped חופף למסע פרסום הידוע בשם TraderTraitor, אשר עוקב אחר הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA).

הניצול של Andriel של הפגיעות Log4Shell בשרתי VMware Horizon לא מתוקנים תועד בעבר על ידי AhnLab Security Emergency Response Center (ASEC) ו-Cisco Talos בשנת 2022, תוך הדגשת המאמצים המתמשכים של הקבוצה לנשק פגיעויות מתעוררות.

EarlyRat אוספת מידע ומבצעת פקודות חודרניות במכשירים שנפרצו

התוכנה הזדונית EarlyRat מתפשטת באמצעות הודעות דוא"ל דיוג המכילות מסמכי Microsoft Word מטעים. עם פתיחת קבצים אלה, הנמענים מתבקשים להפעיל פקודות מאקרו, מה שמפעיל את ביצוע קוד ה-VBA האחראי להורדת האיום.

EarlyRat מאופיינת כדלת אחורית פשוטה אך מוגבלת, שנועדה לאסוף ולשדר מידע מערכת לשרת מרוחק. בנוסף, יש לו את היכולת לבצע פקודות שרירותיות. יש לציין כי ישנם קווי דמיון בולטים בין EarlyRat ל-MagicRAT, למרות שנכתב באמצעות מסגרות שונות. EarlyRat משתמש ב-PureBasic, בעוד MagicRAT משתמש ב-Qt Framework.

בהקשר של התקפות המנצלות את הפגיעות של Log4j Log4Shell שנצפתה בשנה הקודמת, כעת הופיעה טקטיקה שלא נראתה בעבר. תוקפים נצפו המשתמשים בכלי מדף לגיטימיים, כגון 3Proxy , ForkDump, NTDSDumpEx, Powerline ו- PuTTY , כדי לנצל את המטרות שלהם והמכשירים שנפגעו עוד יותר. גישה זו מאפשרת להם למנף את הכלים הקיימים לפעילויות הזדוניות שלהם, ולהגביר את התחכום וההשפעה הפוטנציאלית של ההתקפות.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...