Malware EarlyRat

Cercetătorii în domeniul securității cibernetice au observat că actorul de amenințări Andariel, asociat cu Coreea de Nord, și-a extins arsenalul utilizând un program malware recent descoperit, numit EarlyRat. Instrumentul rău intenționat necunoscut anterior a fost implementat de actorii amenințărilor în campanii de phishing. Această adăugare îmbunătățește și mai mult gama extinsă de instrumente și tactici a lui Andariel.

Pentru a infecta mașinile vizate, infractorii cibernetici Andariel profită de un exploit Log4j, valorificând vulnerabilitățile din biblioteca de logare Log4j. Prin acest exploit, actorul amenințării obține acces la sistemul compromis și continuă să descarce malware suplimentar de pe serverul Command-and-Control (C2) al operațiunii de atac.

Andariel este conectat la alte grupuri de hackeri nord-coreeni

Andariel, cunoscut și sub pseudonimele Silent Chollima și Stonefly, operează sub umbrela Grupului Lazarus alături de alte elemente subordonate precum APT38 (alias BlueNoroff). Acest actor de amenințări este asociat și cu Lab 110, o unitate proeminentă de hacking cu sediul în Coreea de Nord.

Activitățile lui Andariel cuprind o serie de operațiuni, inclusiv spionaj care vizează guvernele străine și entitățile militare de interes strategic. În plus, grupul se angajează în activități de criminalitate cibernetică pentru a genera venituri suplimentare pentru națiune, care este supusă sancțiunilor severe.

Arsenalul lui Andariel cuprinde diverse arme cibernetice, inclusiv faimosul ransomware Maui. În plus, grupul utilizează numeroși troieni de acces la distanță și uși din spate, cum ar fi Dtrack (cunoscut și ca Valefor și Preft), NukeSped (alias Manuscrypt), MagicRAT și YamaBot .

NukeSped, în special, posedă o gamă largă de capabilități care îi permit să creeze și să încheie procese, precum și să manipuleze fișiere de pe gazda compromisă. În special, utilizarea NukeSped se suprapune cu o campanie cunoscută sub numele de TraderTraitor, care a fost urmărită de Agenția de securitate cibernetică și a infrastructurii din SUA (CISA).

Exploatarea de către Andariel a vulnerabilității Log4Shell în serverele VMware Horizon nepatchate a fost documentată anterior de AhnLab Security Emergency Response Center (ASEC) și Cisco Talos în 2022, evidențiind eforturile continue ale grupului de a arma vulnerabilitățile emergente.

EarlyRat colectează informații și execută comenzi intruzive pe dispozitivele încălcate

Programul malware EarlyRat se răspândește prin e-mailuri de tip phishing care conțin documente Microsoft Word înșelătoare. La deschiderea acestor fișiere, destinatarilor li se solicită să activeze macrocomenzi, declanșând execuția codului VBA responsabil pentru descărcarea amenințării.

EarlyRat este caracterizat ca o ușă din spate simplă, dar limitată, concepută pentru a colecta și transmite informații despre sistem către un server la distanță. În plus, are capacitatea de a executa comenzi arbitrare. În special, există asemănări notabile între EarlyRat și MagicRAT, în ciuda faptului că au fost scrise folosind cadre diferite. EarlyRat utilizează PureBasic, în timp ce MagicRAT folosește cadrul Qt.

În contextul atacurilor care exploatează vulnerabilitatea Log4j Log4Shell observate în anul precedent, acum a apărut o tactică nevăzută anterior. Atacatorii au fost observați utilizând instrumente legitime disponibile, cum ar fi 3Proxy , ForkDump, NTDSDumpEx, Powerline și PuTTY , pentru a-și exploata în continuare țintele și dispozitivele compromise. Această abordare le permite să utilizeze instrumentele existente pentru activitățile lor rău intenționate, crescând sofisticarea și impactul potențial al atacurilor.