Malware EarlyRat

I ricercatori della sicurezza informatica hanno notato che l'attore di minacce Andariel, associato alla Corea del Nord, ha ampliato il proprio arsenale utilizzando un malware scoperto di recente chiamato EarlyRat. Lo strumento dannoso precedentemente sconosciuto è stato distribuito dagli attori delle minacce nelle campagne di phishing. Questa aggiunta migliora ulteriormente la vasta gamma di strumenti e tattiche di Andariel.

Per infettare le macchine mirate, i criminali informatici di Andariel sfruttano un exploit Log4j, sfruttando le vulnerabilità nella libreria di registrazione Log4j. Attraverso questo exploit, l'autore della minaccia ottiene l'accesso al sistema compromesso e procede a scaricare malware aggiuntivo dal server Command-and-Control (C2) dell'operazione di attacco.

Andariel è collegato ad altri gruppi di hacker nordcoreani

Andariel, noto anche con gli alias Silent Chollima e Stonefly, opera sotto l'ombrello del Gruppo Lazarus insieme ad altri elementi subordinati come APT38 (alias BlueNoroff). Questo attore di minacce è anche associato a Lab 110, un'importante unità di hacking con sede nella Corea del Nord.

Le attività di Andariel comprendono una serie di operazioni, incluso lo spionaggio contro governi stranieri e entità militari di interesse strategico. Inoltre, il gruppo si impegna in attività di criminalità informatica per generare entrate supplementari per la nazione, che è soggetta a pesanti sanzioni.

L'arsenale di Andariel comprende varie armi informatiche, incluso il famigerato Maui Ransomware. Inoltre, il gruppo utilizza numerosi trojan di accesso remoto e backdoor, come Dtrack (noto anche come Valefor e Preft), NukeSped (alias Manuscrypt), MagicRAT e YamaBot .

NukeSped, in particolare, possiede un'ampia gamma di funzionalità che gli consentono di creare e terminare processi, nonché di manipolare file sull'host compromesso. In particolare, l'utilizzo di NukeSped si sovrappone a una campagna nota come TraderTraitor, che è stata monitorata dalla US Cybersecurity and Infrastructure Security Agency (CISA).

Lo sfruttamento da parte di Andariel della vulnerabilità Log4Shell nei server VMware Horizon senza patch è stato precedentemente documentato da AhnLab Security Emergency Response Center (ASEC) e Cisco Talos nel 2022, evidenziando gli sforzi in corso del gruppo per sfruttare le vulnerabilità emergenti.

EarlyRat raccoglie informazioni ed esegue comandi intrusivi sui dispositivi violati

Il malware EarlyRat si diffonde tramite e-mail di phishing che contengono documenti Microsoft Word ingannevoli. All'apertura di questi file, ai destinatari viene richiesto di abilitare le macro, attivando l'esecuzione del codice VBA responsabile del download della minaccia.

EarlyRat è caratterizzato come una backdoor semplice ma limitata, progettata per raccogliere e trasmettere informazioni di sistema a un server remoto. Inoltre, ha la capacità di eseguire comandi arbitrari. In particolare, ci sono notevoli somiglianze tra EarlyRat e MagicRAT, nonostante sia stato scritto utilizzando framework diversi. EarlyRat utilizza PureBasic, mentre MagicRAT utilizza Qt Framework.

Nel contesto degli attacchi che sfruttano la vulnerabilità Log4j Log4Shell osservata l'anno precedente, è ora emersa una tattica mai vista prima. È stato osservato che gli aggressori utilizzano strumenti legittimi standardizzati, come 3Proxy , ForkDump, NTDSDumpEx, Powerline e PuTTY , per sfruttare ulteriormente i loro obiettivi e i dispositivi compromessi. Questo approccio consente loro di sfruttare gli strumenti esistenti per le loro attività dannose, aumentando la sofisticazione e il potenziale impatto degli attacchi.