EarlyRat 악성코드

사이버 보안 연구원들은 북한과 관련된 위협 행위자 Andariel이 EarlyRat이라는 새로 발견된 맬웨어를 활용하여 무기를 확장했음을 알아냈습니다. 이전에 알려지지 않은 악성 도구는 피싱 캠페인에서 위협 행위자에 의해 배포되었습니다. 이 추가는 Andariel의 광범위한 도구와 전술을 더욱 강화합니다.

대상 시스템을 감염시키기 위해 Andariel 사이버 범죄자는 Log4j 로깅 라이브러리의 취약점을 활용하여 Log4j 익스플로잇을 이용합니다. 이 익스플로잇을 통해 위협 행위자는 손상된 시스템에 대한 액세스 권한을 얻고 공격 작업의 명령 및 제어(C2) 서버에서 추가 멀웨어를 다운로드합니다.

Andariel은 다른 북한 해커 그룹과 연결되어 있습니다.

Silent Chollima 및 Stonefly라는 별칭으로도 알려진 Andariel은 APT38(일명 BlueNoroff)과 같은 다른 하위 요소와 함께 Lazarus Group 산하에서 활동합니다. 이 위협 행위자는 북한에 기반을 둔 유명한 해킹 조직인 Lab 110과도 연관되어 있습니다.

Andariel의 활동은 외국 정부와 전략적 관심을 가진 군사 기관을 대상으로 한 스파이 활동을 포함하여 다양한 작전을 포함합니다. 또한 이 그룹은 강력한 제재를 받고 있는 국가의 추가 수입을 창출하기 위해 사이버 범죄 활동에 참여하고 있습니다.

Andariel 의 무기고는 악명 높은 Maui Ransomware를 비롯한 다양한 사이버 무기로 구성되어 있습니다. 또한 이 그룹은 Dtrack (Valefor 및 Preft라고도 함), NukeSped (Manuscrypt라고도 함), MagicRAT 및 YamaBot 과 같은 수많은 원격 액세스 트로이 목마 및 백도어를 활용합니다.

특히 NukeSped는 손상된 호스트에서 파일을 조작할 뿐만 아니라 프로세스를 생성 및 종료할 수 있는 다양한 기능을 보유하고 있습니다. 특히 NukeSped의 사용은 미국 CISA(Cybersecurity and Infrastructure Security Agency)에서 추적한 TraderTraitor로 알려진 캠페인과 겹칩니다.

안다리엘이 패치되지 않은 VMware Horizon 서버에서 Log4Shell 취약점을 악용한 사실은 이전에 2022년 AhnLab ASEC(Security Emergency Response Center)와 Cisco Talos에 의해 문서화되어 새로운 취약점을 무기화하려는 그룹의 지속적인 노력을 강조했습니다.

EarlyRat은 침해된 장치에서 정보를 수집하고 침입 명령을 실행합니다.

EarlyRat 맬웨어는 사기성 Microsoft Word 문서가 포함된 피싱 이메일을 통해 확산됩니다. 이러한 파일을 열면 받는 사람에게 매크로를 활성화하라는 메시지가 표시되어 위협 다운로드를 담당하는 VBA 코드가 실행됩니다.

EarlyRat은 시스템 정보를 수집하여 원격 서버로 전송하도록 설계된 단순하지만 제한된 백도어로 특징지어집니다. 또한 임의의 명령을 실행할 수 있는 기능이 있습니다. 특히, 다른 프레임워크를 사용하여 작성되었음에도 불구하고 EarlyRat과 MagicRAT 사이에는 눈에 띄는 유사점이 있습니다. EarlyRat은 PureBasic을 사용하고 MagicRAT는 Qt 프레임워크를 사용합니다.

작년에 관찰된 Log4j Log4Shell 취약점을 악용한 공격의 맥락에서 이전에는 볼 수 없었던 전술이 등장했습니다. 공격자는 3Proxy , ForkDump, NTDSDumpEx, Powerline 및 PuTTY 와 같은 합법적인 기성 도구를 사용하여 대상과 손상된 장치를 추가로 악용하는 것으로 관찰되었습니다. 이 접근 방식을 통해 악의적인 활동에 기존 도구를 활용하여 공격의 정교함과 잠재적 영향을 높일 수 있습니다.