EarlyRat Malware

साइबर सुरक्षा शोधकर्ताओं ने देखा है कि उत्तर कोरिया से जुड़े खतरे के अभिनेता एंडारियल ने EarlyRat नामक एक नए खोजे गए मैलवेयर का उपयोग करके अपने शस्त्रागार का विस्तार किया है। पहले से अज्ञात दुर्भावनापूर्ण टूल को फ़िशिंग अभियानों में ख़तरनाक अभिनेताओं द्वारा तैनात किया गया है। यह संयोजन एंडारियल के उपकरणों और युक्तियों की विस्तृत श्रृंखला को और बढ़ाता है।

लक्षित मशीनों को संक्रमित करने के लिए, एन्डारियल साइबर अपराधी Log4j लॉगिंग लाइब्रेरी में कमजोरियों का लाभ उठाते हुए Log4j शोषण का लाभ उठाते हैं। इस शोषण के माध्यम से, खतरा पैदा करने वाला समझौता किए गए सिस्टम तक पहुंच प्राप्त करता है और हमले के ऑपरेशन के कमांड-एंड-कंट्रोल (C2) सर्वर से अतिरिक्त मैलवेयर डाउनलोड करने के लिए आगे बढ़ता है।

Andariel अन्य उत्तर कोरियाई हैकर समूहों से जुड़ा हुआ है

Andariel, जिसे साइलेंट चोलिमा और स्टोनफ्लाई उपनामों से भी जाना जाता है, एपीटी38 (उर्फ ब्लूनोरॉफ़) जैसे अन्य अधीनस्थ तत्वों के साथ Lazarus समूह की छत्रछाया में काम करता है। यह धमकी देने वाला अभिनेता उत्तर कोरिया स्थित एक प्रमुख हैकिंग इकाई लैब 110 से भी जुड़ा है।

एंडारियल की गतिविधियों में कई प्रकार के ऑपरेशन शामिल हैं, जिसमें विदेशी सरकार और रणनीतिक हित की सैन्य संस्थाओं को लक्षित करने वाली जासूसी भी शामिल है। इसके अतिरिक्त, समूह देश के लिए पूरक आय उत्पन्न करने के लिए साइबर अपराध गतिविधियों में संलग्न है, जो भारी प्रतिबंधों के अधीन है।

Andariel के शस्त्रागार में कुख्यात माउ रैनसमवेयर सहित विभिन्न साइबर हथियार शामिल हैं। इसके अतिरिक्त, समूह कई रिमोट एक्सेस ट्रोजन और बैकडोर का उपयोग करता है, जैसे Dtrack (जिसे वेलेफोर और प्रीफ्ट के रूप में भी जाना जाता है), NukeSped (उर्फ मैनुस्क्रिप्ट), MagicRAT और YamaBot ।

NukeSped, विशेष रूप से, क्षमताओं की एक विस्तृत श्रृंखला रखता है जो इसे प्रक्रियाओं को बनाने और समाप्त करने के साथ-साथ समझौता किए गए होस्ट पर फ़ाइलों में हेरफेर करने में सक्षम बनाता है। विशेष रूप से, NukeSped का उपयोग ट्रेडरट्रेटर नामक अभियान के साथ ओवरलैप होता है, जिसे यूएस साइबर सुरक्षा और इंफ्रास्ट्रक्चर सुरक्षा एजेंसी (सीआईएसए) द्वारा ट्रैक किया गया है।

अप्रकाशित वीएमवेयर होराइजन सर्वर में लॉग4शेल भेद्यता के एंडारियल के शोषण को पहले 2022 में अहनलैब सिक्योरिटी इमरजेंसी रिस्पांस सेंटर (एएसईसी) और सिस्को टैलोस द्वारा प्रलेखित किया गया था, जो उभरती कमजोरियों को हथियार बनाने के समूह के चल रहे प्रयासों को उजागर करता है।

EarlyRat सूचना एकत्र करता है और उल्लंघन किए गए उपकरणों पर घुसपैठ करने वाले कमांड निष्पादित करता है

अर्लीरैट मैलवेयर फ़िशिंग ईमेल के माध्यम से फैलता है जिसमें भ्रामक Microsoft Word दस्तावेज़ होते हैं। इन फ़ाइलों को खोलने पर, प्राप्तकर्ताओं को मैक्रोज़ को सक्षम करने के लिए प्रेरित किया जाता है, जिससे खतरे को डाउनलोड करने के लिए जिम्मेदार वीबीए कोड का निष्पादन शुरू हो जाता है।

अर्लीरैट को एक सीधे लेकिन सीमित पिछले दरवाजे के रूप में जाना जाता है, जिसे सिस्टम की जानकारी को दूरस्थ सर्वर पर इकट्ठा करने और प्रसारित करने के लिए डिज़ाइन किया गया है। इसके अतिरिक्त, इसमें मनमाने आदेशों को निष्पादित करने की क्षमता है। विशेष रूप से, विभिन्न रूपरेखाओं का उपयोग करके लिखे जाने के बावजूद, अर्लीरैट और मैजिकआरएटी के बीच उल्लेखनीय समानताएं हैं। अर्लीरैट प्योरबेसिक का उपयोग करता है, जबकि मैजिकआरएटी क्यूटी फ्रेमवर्क का उपयोग करता है।

पिछले वर्ष देखी गई Log4j Log4Shell भेद्यता का फायदा उठाने वाले हमलों के संदर्भ में, पहले से अनदेखी रणनीति अब सामने आई है। हमलावरों को अपने लक्ष्य और क्षतिग्रस्त उपकरणों का और अधिक फायदा उठाने के लिए 3Proxy , ForkDump, NTDSDumpEx, Powerline, और PuTTY जैसे वैध ऑफ-द-शेल्फ टूल का उपयोग करते हुए देखा गया है। यह दृष्टिकोण उन्हें अपनी दुर्भावनापूर्ण गतिविधियों के लिए मौजूदा उपकरणों का लाभ उठाने की अनुमति देता है, जिससे हमलों की परिष्कार और संभावित प्रभाव बढ़ जाता है।