Perisian Hasad EarlyRat

Penyelidik keselamatan siber telah menyedari bahawa pelakon ancaman Andariel, yang dikaitkan dengan Korea Utara, telah mengembangkan senjatanya dengan menggunakan perisian hasad yang baru ditemui dipanggil EarlyRat. Alat hasad yang tidak diketahui sebelum ini telah digunakan oleh pelaku ancaman dalam kempen pancingan data. Penambahan ini meningkatkan lagi rangkaian alat dan taktik Andariel yang meluas.

Untuk menjangkiti mesin yang disasarkan, penjenayah siber Andariel mengambil kesempatan daripada eksploitasi Log4j, memanfaatkan kelemahan dalam perpustakaan pengelogan Log4j. Melalui eksploitasi ini, pelaku ancaman mendapat akses kepada sistem yang terjejas dan terus memuat turun perisian hasad tambahan daripada pelayan Perintah-dan-Kawalan (C2) bagi operasi serangan.

Andariel Disambungkan kepada Kumpulan Penggodam Korea Utara yang Lain

Andariel, juga dikenali dengan alias Silent Chollima dan Stonefly, beroperasi di bawah payung Kumpulan Lazarus bersama elemen bawahan lain seperti APT38 (aka BlueNoroff). Pelakon ancaman ini juga dikaitkan dengan Lab 110, unit penggodaman terkemuka yang berpangkalan di Korea Utara.

Aktiviti Andariel merangkumi pelbagai operasi, termasuk pengintipan yang menyasarkan kerajaan asing dan entiti ketenteraan yang mempunyai kepentingan strategik. Selain itu, kumpulan itu terlibat dalam aktiviti jenayah siber untuk menjana pendapatan tambahan untuk negara, yang berada di bawah sekatan berat.

Senjata Andariel terdiri daripada pelbagai senjata siber, termasuk Maui Ransomware yang terkenal. Selain itu, kumpulan itu menggunakan banyak Trojan akses jauh dan pintu belakang, seperti Dtrack (juga dikenali sebagai Valefor dan Preft), NukeSped (aka Manuscrypt), MagicRAT dan YamaBot .

NukeSped, khususnya, mempunyai pelbagai keupayaan yang membolehkannya mencipta dan menamatkan proses, serta memanipulasi fail pada hos yang terjejas. Terutamanya, penggunaan NukeSped bertindih dengan kempen yang dikenali sebagai TraderTraitor, yang telah dijejaki oleh Agensi Keselamatan Siber dan Infrastruktur (CISA) AS.

Eksploitasi Andariel terhadap kelemahan Log4Shell dalam pelayan VMware Horizon yang tidak ditambal sebelum ini telah didokumenkan oleh Pusat Tindak Balas Kecemasan Keselamatan AhnLab (ASEC) dan Cisco Talos pada tahun 2022, menonjolkan usaha berterusan kumpulan itu untuk mempersenjatai kelemahan yang muncul.

EarlyRat Mengumpul Maklumat dan Melaksanakan Perintah Menceroboh pada Peranti Yang Dilanggar

Malware EarlyRat merebak melalui e-mel pancingan data yang mengandungi dokumen Microsoft Word yang mengelirukan. Apabila membuka fail ini, penerima digesa untuk mendayakan makro, mencetuskan pelaksanaan kod VBA yang bertanggungjawab untuk memuat turun ancaman.

EarlyRat dicirikan sebagai pintu belakang yang mudah tetapi terhad, direka untuk mengumpulkan dan menghantar maklumat sistem ke pelayan jauh. Selain itu, ia mempunyai keupayaan untuk melaksanakan arahan sewenang-wenangnya. Terutama, terdapat persamaan yang ketara antara EarlyRat dan MagicRAT, walaupun ditulis menggunakan rangka kerja yang berbeza. EarlyRat menggunakan PureBasic, manakala MagicRAT menggunakan Rangka Kerja Qt.

Dalam konteks serangan yang mengeksploitasi kelemahan Log4j Log4Shell yang diperhatikan pada tahun sebelumnya, taktik yang sebelum ini tidak kelihatan kini telah muncul. Penyerang telah diperhatikan menggunakan alatan luar biasa yang sah, seperti 3Proxy , ForkDump, NTDSDumpEx, Powerline dan PuTTY , untuk mengeksploitasi sasaran mereka dan peranti yang terjejas dengan lebih lanjut. Pendekatan ini membolehkan mereka memanfaatkan alat sedia ada untuk aktiviti berniat jahat mereka, meningkatkan kecanggihan dan potensi kesan serangan.