EarlyRat ļaunprātīga programmatūra

Kiberdrošības pētnieki ir pamanījuši, ka ar Ziemeļkoreju saistītais draudu aktieris Andariels ir paplašinājis savu arsenālu, izmantojot jaunatklātu ļaunprogrammatūru EarlyRat. Iepriekš nezināmo ļaunprātīgo rīku pikšķerēšanas kampaņās ir izvietojuši draudu dalībnieki. Šis papildinājums vēl vairāk uzlabo Andariel plašo rīku un taktiku klāstu.

Lai inficētu mērķa mašīnas, Andariel kibernoziedznieki izmanto Log4j ļaunprātīgu izmantošanu, izmantojot Log4j reģistrēšanas bibliotēkas ievainojamības. Izmantojot šo izmantošanu, apdraudējuma dalībnieks iegūst piekļuvi uzlauztajai sistēmai un lejupielādē papildu ļaunprātīgu programmatūru no uzbrukuma operācijas Command-and-Control (C2) servera.

Andariels ir saistīts ar citām Ziemeļkorejas hakeru grupām

Andariel, kas pazīstams arī ar pseidonīmiem Silent Chollima un Stonefly, darbojas Lazarus grupas paspārnē kopā ar citiem pakārtotiem elementiem, piemēram, APT38 (pazīstams arī kā BlueNoroff). Šis draudu aktieris ir saistīts arī ar Lab 110, ievērojamu hakeru vienību, kas atrodas Ziemeļkorejā.

Andariel darbība ietver virkni operāciju, tostarp spiegošanu, kas vērsta pret ārvalstu valdību un stratēģiskas nozīmes militārām vienībām. Turklāt grupa iesaistās kibernoziegumu darbībās, lai radītu papildu ienākumus valstij, pret kuru tiek piemērotas smagas sankcijas.

Andariel arsenālā ir dažādi kiberieroči, tostarp bēdīgi slavenais Maui Ransomware. Turklāt grupa izmanto daudzus attālās piekļuves Trojas zirgus un aizmugures durvis, piemēram, Dtrack (pazīstams arī kā Valefor un Preft), NukeSped (pazīstams arī kā Manuscrypt), MagicRAT un YamaBot .

Jo īpaši NukeSped ir plašs iespēju klāsts, kas ļauj tam izveidot un pārtraukt procesus, kā arī manipulēt ar failiem apdraudētajā resursdatorā. Proti, NukeSped izmantošana pārklājas ar kampaņu, kas pazīstama kā TraderTraitor un kuru ir izsekojusi ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA).

AhnLab drošības ārkārtas reaģēšanas centrs (ASEC) un Cisco Talos 2022. gadā iepriekš dokumentēja to, kā Andariel izmantoja Log4Shell ievainojamību VMware Horizon serveros, kas nav laboti.

EarlyRat apkopo informāciju un izpilda uzmācīgas komandas uzlauztajās ierīcēs

EarlyRat ļaunprogrammatūra izplatās ar pikšķerēšanas e-pastiem, kas satur maldinošus Microsoft Word dokumentus. Atverot šos failus, adresātiem tiek piedāvāts iespējot makro, kas aktivizē VBA koda izpildi, kas ir atbildīgs par draudu lejupielādi.

EarlyRat raksturo kā vienkāršu, taču ierobežotu aizmugures durvis, kas paredzētas sistēmas informācijas apkopošanai un pārsūtīšanai uz attālo serveri. Turklāt tam ir iespēja izpildīt patvaļīgas komandas. Jāatzīmē, ka starp EarlyRat un MagicRAT ir ievērojamas līdzības, neskatoties uz to, ka tie ir rakstīti, izmantojot dažādus ietvarus. EarlyRat izmanto PureBasic, savukārt MagicRAT izmanto Qt Framework.

Iepriekšējā gadā novēroto Log4j Log4Shell ievainojamības izmantošanas uzbrukumu kontekstā tagad ir parādījusies iepriekš neredzēta taktika. Ir novēroti uzbrucēji, kuri izmanto likumīgus jau pieejamus rīkus, piemēram, 3Proxy , ForkDump, NTDSDumpEx, Powerline un PuTTY , lai tālāk izmantotu savus mērķus un apdraudētas ierīces. Šī pieeja ļauj viņiem izmantot esošos rīkus ļaunprātīgām darbībām, palielinot uzbrukumu sarežģītību un iespējamo ietekmi.