EarlyRat Malware

A kiberbiztonsági kutatók észrevették, hogy az Észak-Koreával kapcsolatban álló Andariel fenyegetettség szereplője az EarlyRat nevű újonnan felfedezett rosszindulatú program segítségével bővítette arzenálját. A korábban ismeretlen rosszindulatú eszközt a fenyegetés szereplői adathalász kampányokban alkalmazták. Ez a kiegészítés tovább bővíti Andariel eszközeinek és taktikáinak széles skáláját.

A megcélzott gépek megfertőzésére az Andariel kiberbűnözők a Log4j kizsákmányolását használják ki, kihasználva a Log4j naplózási könyvtárának sebezhetőségeit. Ezzel a kihasználással a fenyegetés szereplője hozzáfér a feltört rendszerhez, és további kártevőket tölt le a támadási művelet Command-and-Control (C2) szerveréről.

Andariel kapcsolatban áll más észak-koreai hackercsoportokkal

Andariel, más néven Silent Chollima és Stonefly, a Lazarus Group égisze alatt működik, olyan alárendelt elemekkel, mint az APT38 (más néven BlueNoroff). Ez a fenyegetett szereplő a Lab 110-hez is kapcsolódik, amely egy kiemelkedő észak-koreai székhelyű hacker egység.

Az Andariel tevékenységei számos műveletet ölelnek fel, ideértve a külföldi kormány és a stratégiai érdekű katonai szervezetek elleni kémkedést is. Ezenkívül a csoport kiberbűnözési tevékenységeket folytat, hogy kiegészítő jövedelmet termeljen a nemzetnek, amely súlyos szankciók alatt áll.

Az Andariel arzenálja különféle kiberfegyvereket tartalmaz, köztük a hírhedt Maui Ransomware-t. Ezenkívül a csoport számos távoli hozzáférésű trójai programot és hátsó ajtót használ, mint például a Dtrack (más néven Valefor és Preft), a NukeSped (más néven Manuscrypt), a MagicRAT és a YamaBot .

A NukeSped különösen a képességek széles skálájával rendelkezik, amelyek lehetővé teszik folyamatok létrehozását és leállítását, valamint fájlok kezelését a feltört gazdagépen. Nevezetesen, a NukeSped használata átfedésben van a TraderTraitor néven ismert kampánnyal, amelyet az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége (CISA) nyomon követett.

Az AhnLab Security Emergency Response Center (ASEC) és a Cisco Talos korábban 2022-ben dokumentálta, hogy Andariel kihasználta a Log4Shell sebezhetőségét a javítatlan VMware Horizon szervereken, kiemelve a csoport folyamatos erőfeszítéseit a feltörekvő sebezhetőségek fegyverezésére.

Az EarlyRat információkat gyűjt, és tolakodó parancsokat hajt végre a megsértett eszközökön

Az EarlyRat kártevő olyan adathalász e-maileken keresztül terjed, amelyek megtévesztő Microsoft Word dokumentumokat tartalmaznak. A fájlok megnyitásakor a címzett felkéri a makrók engedélyezésére, ami elindítja a fenyegetés letöltéséért felelős VBA-kód végrehajtását.

Az EarlyRat egyszerű, de korlátozott hátsó ajtóként jellemzi, amelyet arra terveztek, hogy rendszerinformációkat gyűjtsön össze és továbbítson egy távoli szerverre. Ezenkívül képes tetszőleges parancsok végrehajtására. Nevezetesen, figyelemre méltó hasonlóságok vannak az EarlyRat és a MagicRAT között, annak ellenére, hogy különböző keretrendszerekkel írták őket. Az EarlyRat a PureBasic-et, míg a MagicRAT a Qt-keretrendszert használja.

A Log4j Log4Shell sebezhetőségét kihasználó támadások kapcsán, amelyeket az előző évben figyeltek meg, most egy korábban nem látott taktika merült fel. Megfigyelték, hogy a támadók olyan törvényes kész eszközöket használnak, mint például a 3Proxy , a ForkDump, az NTDSDumpEx, a Powerline és a PuTTY , hogy tovább aknázzák ki célpontjaikat és feltört eszközeiket. Ez a megközelítés lehetővé teszi számukra, hogy kihasználják a meglévő eszközöket rosszindulatú tevékenységeikhez, növelve a támadások kifinomultságát és potenciális hatását.