EarlyRat Malware

Os pesquisadores de segurança cibernética notaram que o agente de ameaças Andariel, associado à Coreia do Norte, expandiu seu arsenal utilizando um malware recém-descoberto chamado EarlyRat. A ferramenta maliciosa anteriormente desconhecida foi implantada pelos agentes de ameaças em campanhas de phishing. Esta adição aprimora ainda mais a extensa gama de ferramentas e táticas de Andariel.

Para infectar as máquinas visadas, os cibercriminosos Andariel aproveitam uma exploração Log4j, aproveitando as vulnerabilidades na biblioteca de registro Log4j. Por meio dessa exploração, o agente da ameaça obtém acesso ao sistema comprometido e procede ao download de malware adicional do servidor de comando e controle (C2) da operação de ataque.

Andariel está Conectado a Outros Grupos de Hackers Norte-Coreanos

Andariel, também conhecido pelos pseudônimos Silent Chollima e Stonefly, opera sob a égide do Lazarus Group ao lado de outros elementos subordinados, como APT38 (também conhecido como BlueNoroff). Esse agente de ameaças também está associado ao Lab 110, uma proeminente unidade de hackers com sede na Coreia do Norte.

As atividades da Andariel abrangem uma gama de operações, incluindo espionagem visando governos estrangeiros e entidades militares de interesse estratégico. Além disso, o grupo se envolve em atividades de cibercrime para gerar renda suplementar para o país, que está sob pesadas sanções.

O arsenal de Andariel compreende várias armas cibernéticas, incluindo o notório Maui Ransomware. Além disso, o grupo utiliza vários cavalos de Tróia e backdoors de acesso remoto, como Dtrack (também conhecido como Valefor e Preft), NukeSped (também conhecido como Manuscrypt), MagicRAT e YamaBot.

O NukeSped, em particular, possui uma ampla gama de recursos que permitem criar e encerrar processos, bem como manipular arquivos no host comprometido. Notavelmente, o uso do NukeSped se sobrepõe a uma campanha conhecida como TraderTraitor, que foi rastreada pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA).

A exploração de Andariel da vulnerabilidade Log4Shell em servidores VMware Horizon não corrigidos foi documentada anteriormente pelo AhnLab Security Emergency Response Center (ASEC) e Cisco Talos em 2022, destacando os esforços contínuos do grupo para armar vulnerabilidades emergentes.

O EarlyRat Coleta Informações e Executa Comandos Intrusivos nos Dispositivos Violados

O malware EarlyRat se espalha por meio de e-mails de phishing que contêm documentos enganosos do Microsoft Word. Ao abrir esses arquivos, os destinatários são solicitados a ativar as macros, acionando a execução do código VBA responsável pelo download da ameaça.

EarlyRat é caracterizado como um backdoor direto, mas limitado, projetado para coletar e transmitir informações do sistema para um servidor remoto. Além disso, tem a capacidade de executar comandos arbitrários. Notavelmente, existem semelhanças notáveis entre EarlyRat e MagicRAT, apesar de terem sido escritos usando estruturas diferentes. EarlyRat utiliza PureBasic, enquanto MagicRAT emprega o Qt Framework.

No contexto de ataques que exploram a vulnerabilidade Log4j Log4Shell observada no ano anterior, uma tática inédita surgiu agora. Os invasores foram observados usando ferramentas legítimas prontas para uso, como 3Proxy, ForkDump, NTDSDumpEx, Powerline e PuTTY, para explorar ainda mais seus alvos e dispositivos comprometidos. Essa abordagem permite que eles aproveitem as ferramentas existentes para suas atividades maliciosas, aumentando a sofisticação e o impacto potencial dos ataques.