Złośliwe oprogramowanie EarlyRat

Analitycy cyberbezpieczeństwa zauważyli, że ugrupowanie cyberprzestępcze Andariel, powiązane z Koreą Północną, rozszerzyło swój arsenał, wykorzystując nowo odkryte złośliwe oprogramowanie o nazwie EarlyRat. Nieznane wcześniej szkodliwe narzędzie zostało wykorzystane przez cyberprzestępców w kampaniach phishingowych. Dodatek ten jeszcze bardziej rozszerza szeroką gamę narzędzi i taktyk Andariel.

Aby zainfekować docelowe maszyny, cyberprzestępcy Andariel wykorzystują exploit Log4j, wykorzystując luki w bibliotece logowania Log4j. Dzięki temu exploitowi cyberprzestępca uzyskuje dostęp do zaatakowanego systemu i pobiera dodatkowe złośliwe oprogramowanie z serwera Command-and-Control (C2) operacji ataku.

Andariel jest połączona z innymi północnokoreańskimi grupami hakerskimi

Andariel, znana również pod pseudonimami Silent Chollima i Stonefly, działa pod parasolem Grupy Lazarus wraz z innymi podległymi jej elementami, takimi jak APT38 (alias BlueNoroff). Ten cyberprzestępca jest również powiązany z Lab 110, znaną jednostką hakerską z siedzibą w Korei Północnej.

Działalność Andariel obejmuje szereg operacji, w tym szpiegostwo wymierzone w zagraniczne jednostki rządowe i wojskowe o znaczeniu strategicznym. Ponadto grupa angażuje się w działania związane z cyberprzestępczością, aby generować dodatkowe dochody dla narodu objętego surowymi sankcjami.

Arsenał Andariel obejmuje różne bronie cybernetyczne, w tym osławione Maui Ransomware. Ponadto grupa wykorzystuje liczne trojany i backdoory umożliwiające zdalny dostęp, takie jak Dtrack (znany również jako Valefor i Preft), NukeSped (znany również jako Manuscrypt), MagicRAT i YamaBot .

W szczególności NukeSped posiada szeroki wachlarz możliwości, które umożliwiają mu tworzenie i kończenie procesów, a także manipulowanie plikami na zaatakowanym hoście. Warto zauważyć, że wykorzystanie NukeSped pokrywa się z kampanią znaną jako TraderTraitor, która była śledzona przez amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).

Wykorzystanie przez Andariel luki w zabezpieczeniach Log4Shell w niezałatanych serwerach VMware Horizon zostało wcześniej udokumentowane przez AhnLab Security Emergency Response Center (ASEC) i Cisco Talos w 2022 r., co podkreśla ciągłe wysiłki grupy mające na celu wykorzystanie pojawiających się luk jako broni.

EarlyRat zbiera informacje i wykonuje natrętne polecenia na naruszonych urządzeniach

Złośliwe oprogramowanie EarlyRat rozprzestrzenia się za pośrednictwem wiadomości phishingowych zawierających oszukańcze dokumenty Microsoft Word. Po otwarciu tych plików odbiorcy są proszeni o włączenie makr, uruchamiając wykonanie kodu VBA odpowiedzialnego za pobranie zagrożenia.

EarlyRat charakteryzuje się prostym, ale ograniczonym backdoorem, przeznaczonym do gromadzenia i przesyłania informacji systemowych do zdalnego serwera. Dodatkowo ma możliwość wykonywania dowolnych poleceń. Warto zauważyć, że istnieją znaczne podobieństwa między EarlyRat i MagicRAT, mimo że zostały napisane przy użyciu różnych ram. EarlyRat wykorzystuje PureBasic, podczas gdy MagicRAT korzysta z Qt Framework.

W kontekście obserwowanych w ubiegłym roku ataków wykorzystujących lukę Log4j Log4Shell pojawiła się teraz niespotykana wcześniej taktyka. Zaobserwowano, że osoby atakujące wykorzystują legalne, gotowe narzędzia, takie jak 3Proxy , ForkDump, NTDSDumpEx, Powerline i PuTTY , aby dalej wykorzystywać swoje cele i zainfekowane urządzenia. Takie podejście pozwala im wykorzystać istniejące narzędzia do złośliwych działań, zwiększając wyrafinowanie i potencjalny wpływ ataków.