EarlyRat मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले नोटिस गरेका छन् कि उत्तर कोरियासँग सम्बन्धित खतरा अभिनेता एन्डारिएलले अर्ली रेट भनिने भर्खरै पत्ता लागेको मालवेयर प्रयोग गरेर आफ्नो शस्त्रागार विस्तार गरेको छ। पहिले अज्ञात मालिसियस उपकरणलाई फिसिङ अभियानहरूमा धम्की अभिनेताहरू द्वारा तैनात गरिएको छ। यो थपले Andariel को उपकरण र रणनीति को व्यापक दायरा बढाउँछ।
लक्षित मेशिनहरू संक्रमित गर्न, Andariel साइबर अपराधीहरूले Log4j शोषणको फाइदा उठाउँछन्, Log4j लगिङ लाइब्रेरीमा कमजोरीहरूको लाभ उठाउँछन्। यस शोषणको माध्यमबाट, खतरा अभिनेताले सम्झौता प्रणालीमा पहुँच प्राप्त गर्दछ र आक्रमण अपरेशनको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट थप मालवेयर डाउनलोड गर्न अगाडि बढ्छ।
अन्डारियल अन्य उत्तर कोरियाली ह्याकर समूहहरूसँग जोडिएको छ
अन्डारिएल, जसलाई उपनाम साइलेन्ट चोलिमा र स्टोनफ्लाइ पनि भनिन्छ, लाजरस समूहको छातामुनि APT38 (उर्फ ब्लूनोरोफ) जस्ता अन्य अधीनस्थ तत्वहरूसँग काम गर्दछ। यो धम्की दिने अभिनेता उत्तर कोरियामा रहेको प्रख्यात ह्याकिङ इकाई ल्याब ११० सँग पनि सम्बन्धित छ।
अन्डारियलका गतिविधिहरूले विदेशी सरकार र रणनीतिक चासोका सैन्य संस्थाहरूलाई लक्षित गर्ने जासुसी सहित विभिन्न कार्यहरू समावेश गर्दछ। थप रूपमा, समूहले राष्ट्रको लागि पूरक आय उत्पन्न गर्न साइबर अपराध गतिविधिहरूमा संलग्न छ, जुन ठूलो प्रतिबन्ध अन्तर्गत छ।
Andariel को शस्त्रागार मा कुख्यात Maui Ransomware सहित विभिन्न साइबर हतियारहरू समावेश छन्। थप रूपमा, समूहले धेरै रिमोट एक्सेस ट्रोजनहरू र ब्याकडोरहरू प्रयोग गर्दछ, जस्तै Dtrack (Valefor र Preft पनि भनिन्छ), NukeSped (उर्फ Manuscrypt), MagicRAT र YamaBot ।
NukeSped, विशेष गरी, क्षमताहरूको एक विस्तृत श्रृंखला छ जसले यसलाई प्रक्रियाहरू सिर्जना गर्न र समाप्त गर्न सक्षम गर्दछ, साथै सम्झौता गरिएको होस्टमा फाइलहरू हेरफेर गर्दछ। उल्लेखनीय रूपमा, NukeSped को प्रयोग TraderTraitor भनेर चिनिने अभियानसँग ओभरल्याप हुन्छ, जुन US Cybersecurity and Infrastructure Security Agency (CISA) द्वारा ट्र्याक गरिएको छ।
अनप्याच नगरिएको VMware Horizon सर्भरहरूमा Log4Shell जोखिमको अन्डारिएलको शोषण पहिले 2022 मा AhnLab सुरक्षा आपतकालीन प्रतिक्रिया केन्द्र (ASEC) र Cisco Talos द्वारा दस्तावेज गरिएको थियो, उदीयमान कमजोरीहरूलाई हतियार बनाउने समूहको जारी प्रयासहरूलाई हाइलाइट गर्दै।
EarlyRat ले जानकारी सङ्कलन गर्दछ र उल्लंघन गरिएका यन्त्रहरूमा हस्तक्षेपकारी आदेशहरू कार्यान्वयन गर्दछ
EarlyRat मालवेयर फिसिङ इमेलहरू मार्फत फैलिन्छ जसमा भ्रामक Microsoft Word कागजातहरू छन्। यी फाइलहरू खोल्दा, प्राप्तकर्ताहरूलाई म्याक्रोहरू सक्षम गर्न प्रेरित गरिन्छ, जसले खतरा डाउनलोड गर्न जिम्मेवार VBA कोडको कार्यान्वयनलाई ट्रिगर गर्दछ।
EarlyRat एक सीधा तर सीमित ब्याकडोरको रूपमा चित्रण गरिएको छ, रिमोट सर्भरमा प्रणाली जानकारी भेला गर्न र प्रसारण गर्न डिजाइन गरिएको। थप रूपमा, यसमा स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्ने क्षमता छ। उल्लेखनीय रूपमा, EarlyRat र MagicRAT बीच उल्लेखनीय समानताहरू छन्, फरक फ्रेमवर्कहरू प्रयोग गरेर लेखिएको भए तापनि। EarlyRat ले PureBasic को उपयोग गर्दछ, जबकि MagicRAT ले Qt फ्रेमवर्क प्रयोग गर्दछ।
अघिल्लो वर्ष अवलोकन गरिएको Log4j Log4Shell जोखिमको शोषण गर्ने आक्रमणको सन्दर्भमा, पहिले नदेखिएको रणनीति अब देखा परेको छ। आक्रमणकारीहरूले 3Proxy , ForkDump, NTDSDumpEx, Powerline, र PuTTY जस्ता वैध अफ-द-शेल्फ उपकरणहरूको प्रयोग गरी आफ्ना लक्ष्यहरू र सम्झौता गरिएका यन्त्रहरूको थप शोषण गरेको देखिएका छन्। यस दृष्टिकोणले उनीहरूलाई उनीहरूको दुर्भावनापूर्ण गतिविधिहरूको लागि अवस्थित उपकरणहरू प्रयोग गर्न अनुमति दिन्छ, परिष्कार र आक्रमणहरूको सम्भावित प्रभाव बढाउँदै।
