EarlyRat-malware

Cyberbeveiligingsonderzoekers hebben gemerkt dat de dreigingsactor Andariel, geassocieerd met Noord-Korea, zijn arsenaal heeft uitgebreid door gebruik te maken van een nieuw ontdekte malware genaamd EarlyRat. De voorheen onbekende kwaadaardige tool is door de bedreigingsactoren ingezet in phishing-campagnes. Deze toevoeging verbetert Andariel's uitgebreide scala aan tools en tactieken nog meer.

Om gerichte machines te infecteren, profiteren de Andariel-cybercriminelen van een Log4j-exploit, waarbij kwetsbaarheden in de Log4j-logboekbibliotheek worden misbruikt. Door deze exploit krijgt de bedreigingsactor toegang tot het gecompromitteerde systeem en gaat hij verder met het downloaden van aanvullende malware van de Command-and-Control (C2)-server van de aanvalsoperatie.

Andariel is verbonden met andere Noord-Koreaanse hackergroepen

Andariel, ook bekend onder de aliassen Silent Chollima en Stonefly, opereert onder de paraplu van de Lazarus Group naast andere ondergeschikte elementen zoals APT38 (ook bekend als BlueNoroff). Deze bedreigingsactor wordt ook geassocieerd met Lab 110, een prominente hackeenheid in Noord-Korea.

De activiteiten van Andariel omvatten een reeks operaties, waaronder spionage gericht op buitenlandse regeringen en militaire entiteiten van strategisch belang. Bovendien houdt de groep zich bezig met cybercriminaliteit om aanvullende inkomsten te genereren voor de natie, die onder zware sancties staat.

Het arsenaal van Andariel omvat verschillende cyberwapens, waaronder de beruchte Maui Ransomware. Daarnaast maakt de groep gebruik van tal van trojans en backdoors voor externe toegang, zoals Dtrack (ook bekend als Valefor en Preft), NukeSped (ook bekend als Manuscrypt), MagicRAT en YamaBot .

Met name NukeSped beschikt over een breed scala aan mogelijkheden waarmee het processen kan creëren en beëindigen, en bestanden op de gecompromitteerde host kan manipuleren. Het gebruik van NukeSped overlapt met name met een campagne die bekend staat als TraderTraitor, die is gevolgd door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).

Andariel's misbruik van de Log4Shell-kwetsbaarheid in niet-gepatchte VMware Horizon-servers werd eerder gedocumenteerd door AhnLab Security Emergency Response Center (ASEC) en Cisco Talos in 2022, wat de voortdurende inspanningen van de groep benadrukte om opkomende kwetsbaarheden te bewapenen.

EarlyRat verzamelt informatie en voert opdringerige commando's uit op de geschonden apparaten

De EarlyRat-malware verspreidt zich via phishing-e-mails die misleidende Microsoft Word-documenten bevatten. Bij het openen van deze bestanden wordt de ontvangers gevraagd om macro's in te schakelen, waardoor de VBA-code wordt uitgevoerd die verantwoordelijk is voor het downloaden van de dreiging.

EarlyRat wordt gekarakteriseerd als een ongecompliceerde maar beperkte achterdeur, ontworpen om systeeminformatie te verzamelen en naar een externe server te verzenden. Bovendien heeft het de mogelijkheid om willekeurige opdrachten uit te voeren. Er zijn met name opmerkelijke overeenkomsten tussen EarlyRat en MagicRAT, ondanks dat ze met verschillende frameworks zijn geschreven. EarlyRat gebruikt PureBasic, terwijl MagicRAT het Qt Framework gebruikt.

In de context van aanvallen die misbruik maakten van de Log4j Log4Shell-kwetsbaarheid die in het voorgaande jaar werd waargenomen, is nu een voorheen ongeziene tactiek naar voren gekomen. Er is waargenomen dat aanvallers gebruik maken van legitieme kant-en-klare tools, zoals 3Proxy , ForkDump, NTDSDumpEx, Powerline en PuTTY , om hun doelen en gecompromitteerde apparaten verder uit te buiten. Deze aanpak stelt hen in staat om bestaande tools te gebruiken voor hun kwaadaardige activiteiten, waardoor de verfijning en potentiële impact van de aanvallen toenemen.