EarlyRat Malware

Cybersikkerhetsforskere har lagt merke til at trusselaktøren Andariel, tilknyttet Nord-Korea, har utvidet sitt arsenal ved å bruke en nyoppdaget skadelig programvare kalt EarlyRat. Det tidligere ukjente skadelige verktøyet har blitt distribuert av trusselaktørene i phishing-kampanjer. Dette tillegget forbedrer Andariels omfattende utvalg av verktøy og taktikker ytterligere.

For å infisere målrettede maskiner, drar Andariel-nettkriminelle fordel av en Log4j-utnyttelse, og utnytter sårbarheter i Log4j-loggingsbiblioteket. Gjennom denne utnyttelsen får trusselaktøren tilgang til det kompromitterte systemet og fortsetter med å laste ned ytterligere skadelig programvare fra Command-and-Control-serveren (C2) til angrepsoperasjonen.

Andariel er koblet til andre nordkoreanske hackergrupper

Andariel, også kjent under aliasene Silent Chollima og Stonefly, opererer under paraplyen til Lazarus Group sammen med andre underordnede elementer som APT38 (aka BlueNoroff). Denne trusselaktøren er også tilknyttet Lab 110, en fremtredende hackerenhet basert i Nord-Korea.

Andariels aktiviteter omfatter en rekke operasjoner, inkludert spionasje rettet mot utenlandske myndigheter og militære enheter av strategisk interesse. I tillegg engasjerer gruppen seg i nettkriminalitet for å generere tilleggsinntekter for nasjonen, som er under tunge sanksjoner.

Arsenalet til Andariel består av forskjellige cybervåpen, inkludert den beryktede Maui Ransomware. I tillegg bruker gruppen en rekke fjerntilgangstrojanere og bakdører, som Dtrack (også kjent som Valefor og Preft), NukeSped (aka Manuscrypt), MagicRAT og YamaBot .

Spesielt NukeSped har et bredt spekter av funksjoner som gjør det mulig å opprette og avslutte prosesser, samt manipulere filer på den kompromitterte verten. Spesielt overlapper bruken av NukeSped med en kampanje kjent som TraderTraitor, som har blitt sporet av US Cybersecurity and Infrastructure Security Agency (CISA).

Andariels utnyttelse av Log4Shell-sårbarheten i upatchede VMware Horizon-servere ble tidligere dokumentert av AhnLab Security Emergency Response Center (ASEC) og Cisco Talos i 2022, og fremhever gruppens pågående innsats for å bevæpne nye sårbarheter.

EarlyRat samler inn informasjon og utfører påtrengende kommandoer på de brutte enhetene

EarlyRat malware sprer seg gjennom phishing-e-poster som inneholder villedende Microsoft Word-dokumenter. Når disse filene åpnes, blir mottakerne bedt om å aktivere makroer, som utløser kjøringen av VBA-koden som er ansvarlig for å laste ned trusselen.

EarlyRat er karakterisert som en enkel, men begrenset bakdør, designet for å samle og overføre systeminformasjon til en ekstern server. I tillegg har den muligheten til å utføre vilkårlige kommandoer. Spesielt er det bemerkelsesverdige likheter mellom EarlyRat og MagicRAT, til tross for at de er skrevet med forskjellige rammer. EarlyRat bruker PureBasic, mens MagicRAT bruker Qt Framework.

I sammenheng med angrep som utnytter Log4j Log4Shell-sårbarheten observert i året før, har det nå dukket opp en tidligere usett taktikk. Angripere har blitt observert som bruker legitime hyllevareverktøy, som 3Proxy , ForkDump, NTDSDumpEx, Powerline og PuTTY , for å utnytte målene deres og kompromitterte enheter ytterligere. Denne tilnærmingen lar dem utnytte eksisterende verktøy for sine ondsinnede aktiviteter, noe som øker sofistikeringen og potensielle virkningen av angrepene.