EarlyRat kenkėjiška programa

Kibernetinio saugumo tyrinėtojai pastebėjo, kad su Šiaurės Korėja siejamas grėsmių veikėjas Andarielis išplėtė savo arsenalą panaudodamas naujai atrastą kenkėjišką programą EarlyRat. Anksčiau nežinomą kenkėjišką įrankį sukčiavimo kampanijose panaudojo grėsmės veikėjai. Šis papildymas dar labiau išplečia platų Andariel įrankių ir taktikos asortimentą.

Norėdami užkrėsti tikslines mašinas, „Andariel“ kibernetiniai nusikaltėliai naudojasi „Log4j“ išnaudojimu, išnaudodami „Log4j“ registravimo bibliotekos pažeidžiamumą. Per šį išnaudojimą grėsmės veikėjas gauna prieigą prie pažeistos sistemos ir atsisiunčia papildomos kenkėjiškos programos iš atakos operacijos komandų ir valdymo (C2) serverio.

Andariel yra susijęs su kitomis Šiaurės Korėjos įsilaužėlių grupėmis

Andariel, taip pat žinomas slapyvardžiais Silent Chollima ir Stonefly, veikia po Lazarus grupės skėčiu kartu su kitais pavaldžiais elementais, tokiais kaip APT38 (dar žinomas kaip BlueNoroff). Šis grėsmės veikėjas taip pat siejamas su „Lab 110“, žinomu įsilaužimo padaliniu, įsikūrusiu Šiaurės Korėjoje.

Andariel veikla apima įvairias operacijas, įskaitant šnipinėjimą, nukreiptą prieš užsienio vyriausybę ir strateginės svarbos karinius subjektus. Be to, grupė užsiima kibernetinių nusikaltimų veikla, kad gautų papildomų pajamų tautai, kuriai taikomos griežtos sankcijos.

Andariel arsenalą sudaro įvairūs kibernetiniai ginklai, įskaitant liūdnai pagarsėjusią Maui Ransomware. Be to, grupė naudoja daugybę nuotolinės prieigos Trojos arklių ir užpakalinių durų, tokių kaip Dtrack (taip pat žinomas kaip Valefor ir Preft), NukeSped (dar žinomas kaip Manuscrypt), MagicRAT ir YamaBot .

Visų pirma „NukeSped“ turi daugybę galimybių, leidžiančių kurti ir nutraukti procesus, taip pat valdyti failus pažeistame pagrindiniame kompiuteryje. Pažymėtina, kad „NukeSped“ naudojimas sutampa su kampanija, žinoma kaip „TraderTraitor“, kurią stebėjo JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA).

„Andariel“ išnaudojo „Log4Shell“ pažeidžiamumą nepataisytuose „VMware Horizon“ serveriuose anksčiau buvo dokumentuotas „AhnLab Security Emergency Response Center“ (ASEC) ir „Cisco Talos“ 2022 m., pabrėždamas nuolatines grupės pastangas apginkluoti atsirandančius pažeidžiamumus.

EarlyRat renka informaciją ir vykdo įkyrias komandas pažeistuose įrenginiuose

EarlyRat kenkėjiška programa plinta per sukčiavimo el. laiškus, kuriuose yra apgaulingų Microsoft Word dokumentų. Atidarius šiuos failus, gavėjai raginami įjungti makrokomandas, kurios suaktyvina VBA kodo, atsakingo už grėsmės atsisiuntimą, vykdymą.

EarlyRat apibūdinamas kaip paprastas, bet ribotas užpakalinis durelis, skirtas rinkti ir perduoti sistemos informaciją į nuotolinį serverį. Be to, ji turi galimybę vykdyti savavališkas komandas. Pažymėtina, kad tarp EarlyRat ir MagicRAT yra didelių panašumų, nepaisant to, kad jie parašyti naudojant skirtingas sistemas. EarlyRat naudoja PureBasic, o MagicRAT naudoja Qt Framework.

Ankstesniais metais pastebėtų atakų, išnaudojančių Log4j Log4Shell pažeidžiamumą, kontekste atsirado anksčiau neregėta taktika. Pastebėta, kad užpuolikai naudojasi teisėtais jau paruoštais įrankiais, tokiais kaip 3Proxy , ForkDump, NTDSDumpEx, Powerline ir PuTTY , norėdami toliau išnaudoti savo taikinius ir pažeistus įrenginius. Šis metodas leidžia jiems panaudoti esamus įrankius kenkėjiškai veiklai, padidinant atakų sudėtingumą ir galimą poveikį.