EarlyRat Malware

Istraživači kibernetičke sigurnosti primijetili su da je prijetnja Andariel, povezana sa Sjevernom Korejom, proširila svoj arsenal korištenjem novootkrivenog zlonamjernog softvera pod nazivom EarlyRat. Prethodno nepoznat zlonamjerni alat koristili su akteri prijetnji u kampanjama krađe identiteta. Ovaj dodatak dodatno poboljšava Andarielov opsežan raspon alata i taktika.

Kako bi zarazili ciljane strojeve, kibernetički kriminalci iz Andariela iskorištavaju prednost Log4j exploit-a, iskorištavajući ranjivosti u biblioteci Log4j logiranja. Putem ovog iskorištavanja akter prijetnje dobiva pristup kompromitiranom sustavu i nastavlja s preuzimanjem dodatnog zlonamjernog softvera s Command-and-Control (C2) poslužitelja operacije napada.

Andariel je povezan s drugim sjevernokorejskim hakerskim skupinama

Andariel, također poznat pod nadimcima Silent Chollima i Stonefly, djeluje pod kišobranom Lazarus grupe zajedno s drugim podređenim elementima kao što je APT38 (aka BlueNoroff). Ovaj akter prijetnje također je povezan s Lab 110, istaknutom hakerskom jedinicom sa sjedištem u Sjevernoj Koreji.

Andarielove aktivnosti obuhvaćaju niz operacija, uključujući špijunažu usmjerenu na strane vlade i vojne entitete od strateškog interesa. Osim toga, skupina se bavi aktivnostima kibernetičkog kriminala kako bi stvorila dodatni prihod za naciju, koja je pod teškim sankcijama.

Andarielov arsenal sastoji se od raznih cyber oružja, uključujući zloglasni Maui Ransomware. Osim toga, grupa koristi brojne trojance za daljinski pristup i stražnja vrata, kao što su Dtrack (također poznat kao Valefor i Preft), NukeSped (aka Manuscrypt), MagicRAT i YamaBot .

NukeSped posebno posjeduje široku lepezu mogućnosti koje mu omogućuju stvaranje i prekidanje procesa, kao i manipuliranje datotekama na kompromitiranom hostu. Naime, korištenje NukeSpeda preklapa se s kampanjom poznatom kao TraderTraitor, koju je pratila američka Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA).

Andarielovo iskorištavanje ranjivosti Log4Shell u nezakrpanim poslužiteljima VMware Horizon prethodno su dokumentirali AhnLab Security Emergency Response Center (ASEC) i Cisco Talos 2022. godine, naglašavajući stalne napore grupe da naoruža nove ranjivosti.

EarlyRat prikuplja informacije i izvršava nametljive naredbe na probijenim uređajima

Zlonamjerni softver EarlyRat širi se putem phishing e-pošte koja sadrži lažne Microsoft Word dokumente. Nakon otvaranja ovih datoteka, od primatelja se traži da omoguće makronaredbe, što pokreće izvršenje VBA koda odgovornog za preuzimanje prijetnje.

EarlyRat je karakteriziran kao jednostavan, ali ograničen backdoor, dizajniran za prikupljanje i prijenos informacija o sustavu na udaljeni poslužitelj. Dodatno, ima mogućnost izvršavanja proizvoljnih naredbi. Naime, postoje značajne sličnosti između EarlyRat-a i MagicRAT-a, unatoč tome što su napisani korištenjem različitih okvira. EarlyRat koristi PureBasic, dok MagicRAT koristi Qt Framework.

U kontekstu napada koji iskorištavaju ranjivost Log4j Log4Shell primijećenih prethodne godine, sada se pojavila dosad neviđena taktika. Primijećeno je da napadači koriste legitimne gotove alate, kao što su 3Proxy , ForkDump, NTDSDumpEx, Powerline i PuTTY , kako bi dalje iskorištavali svoje mete i kompromitirane uređaje. Ovaj im pristup omogućuje da iskoriste postojeće alate za svoje zlonamjerne aktivnosti, povećavajući sofisticiranost i potencijalni učinak napada.