Вредоносное ПО EarlyRat

Исследователи кибербезопасности заметили, что злоумышленник Andariel, связанный с Северной Кореей, расширил свой арсенал, используя недавно обнаруженное вредоносное ПО под названием EarlyRat. Ранее неизвестный вредоносный инструмент использовался злоумышленниками в фишинговых кампаниях. Это дополнение еще больше расширяет обширный набор инструментов и тактик Андариэль.

Чтобы заразить целевые машины, киберпреступники Andariel используют эксплойт Log4j, используя уязвимости в библиотеке протоколирования Log4j. С помощью этого эксплойта злоумышленник получает доступ к скомпрометированной системе и приступает к загрузке дополнительных вредоносных программ с сервера управления и контроля (C2) операции атаки.

Андариэль связана с другими северокорейскими хакерскими группами

Андариэль, также известная под псевдонимами Silent Chollima и Stonefly, действует под эгидой Lazarus Group вместе с другими подчиненными элементами, такими как APT38 (он же BlueNoroff). Этот злоумышленник также связан с Lab 110, известным хакерским подразделением, базирующимся в Северной Корее.

Деятельность Андариэль охватывает ряд операций, в том числе шпионаж против иностранных правительств и военных организаций, представляющих стратегический интерес. Кроме того, группа занимается киберпреступностью, чтобы получить дополнительный доход для страны, которая находится под жесткими санкциями.

В арсенале Andariel есть различное кибероружие, в том числе печально известная программа-вымогатель Maui. Кроме того, группа использует многочисленные трояны удаленного доступа и бэкдоры, такие как Dtrack (также известный как Valefor и Preft), NukeSped (также известный как Manuscrypt), MagicRAT и YamaBot .

NukeSped, в частности, обладает широким спектром возможностей, которые позволяют ему создавать и завершать процессы, а также манипулировать файлами на скомпрометированном хосте. Примечательно, что использование NukeSped совпадает с кампанией, известной как TraderTraitor, которую отслеживает Агентство США по кибербезопасности и безопасности инфраструктуры (CISA).

Эксплуатация Andariel уязвимости Log4Shell в неисправленных серверах VMware Horizon ранее была задокументирована Центром экстренного реагирования AhnLab Security (ASEC) и Cisco Talos в 2022 году, что подчеркивает постоянные усилия группы по использованию возникающих уязвимостей в качестве оружия.

EarlyRat собирает информацию и выполняет навязчивые команды на взломанных устройствах

Вредоносное ПО EarlyRat распространяется через фишинговые электронные письма, содержащие вводящие в заблуждение документы Microsoft Word. При открытии этих файлов получателям предлагается включить макросы, запускающие выполнение кода VBA, ответственного за загрузку угрозы.

EarlyRat характеризуется как простой, но ограниченный бэкдор, предназначенный для сбора и передачи системной информации на удаленный сервер. Кроме того, он имеет возможность выполнять произвольные команды. Примечательно, что между EarlyRat и MagicRAT есть заметное сходство, несмотря на то, что они написаны с использованием разных фреймворков. EarlyRat использует PureBasic, а MagicRAT использует Qt Framework.

В контексте атак с использованием уязвимости Log4j Log4Shell, наблюдавшихся в прошлом году, теперь появилась ранее невиданная тактика. Было замечено, что злоумышленники используют законные готовые инструменты, такие как 3Proxy , ForkDump, NTDSDumpEx, Powerline и PuTTY , для дальнейшего использования своих целей и взломанных устройств. Такой подход позволяет им использовать существующие инструменты для своих вредоносных действий, повышая сложность и потенциальное воздействие атак.