EarlyRat Malware

Výskumníci v oblasti kybernetickej bezpečnosti si všimli, že aktér hrozby Andariel, spojený so Severnou Kóreou, rozšíril svoj arzenál využitím novoobjaveného malvéru s názvom EarlyRat. Predtým neznámy škodlivý nástroj nasadili aktéri hrozieb vo phishingových kampaniach. Tento prírastok ďalej rozširuje širokú škálu nástrojov a taktík Andariel.

Na infikovanie cieľových počítačov využívajú kyberzločinci Andariel výhodu Log4j, pričom využívajú zraniteľnosti v protokolovacej knižnici Log4j. Prostredníctvom tohto zneužitia získa aktér hrozby prístup k napadnutému systému a pokračuje v sťahovaní ďalšieho malvéru zo servera Command-and-Control (C2) útočnej operácie.

Andariel je prepojený s inými severokórejskými hackerskými skupinami

Andariel, tiež známy pod aliasmi Silent Chollima a Stonefly, pôsobí pod záštitou skupiny Lazarus spolu s ďalšími podriadenými prvkami, ako je APT38 (aka BlueNoroff). Tento aktér hrozby je tiež spájaný s Lab 110, prominentnou hackerskou jednotkou so sídlom v Severnej Kórei.

Aktivity Andariel zahŕňajú celý rad operácií vrátane špionáže zameranej na zahraničnú vládu a vojenské subjekty strategického záujmu. Okrem toho sa skupina zapája do aktivít v oblasti počítačovej kriminality, aby vytvorila dodatočný príjem pre národ, na ktorý sa vzťahujú prísne sankcie.

Arzenál Andariel zahŕňa rôzne kybernetické zbrane, vrátane notoricky známeho Maui Ransomware. Okrem toho skupina využíva početné trójske kone a zadné vrátka na vzdialený prístup, ako sú Dtrack (tiež známy ako Valefor a Preft), NukeSped (aka Manuscrypt), MagicRAT a YamaBot .

Najmä NukeSped disponuje širokou škálou schopností, ktoré mu umožňujú vytvárať a ukončovať procesy, ako aj manipulovať so súbormi na napadnutom hostiteľovi. Najmä použitie NukeSped sa prekrýva s kampaňou známou ako TraderTraitor, ktorú sledovala Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA).

Andarielovo využitie zraniteľnosti Log4Shell v neoplatených serveroch VMware Horizon už predtým zdokumentovali AhnLab Security Emergency Response Center (ASEC) a Cisco Talos v roku 2022, pričom zdôraznili pokračujúce snahy skupiny o vyzbrojenie vznikajúcich zraniteľností.

EarlyRat zhromažďuje informácie a vykonáva rušivé príkazy na narušených zariadeniach

Malvér EarlyRat sa šíri prostredníctvom phishingových e-mailov, ktoré obsahujú klamlivé dokumenty Microsoft Word. Po otvorení týchto súborov sa príjemcom zobrazí výzva na povolenie makier, čím sa spustí spustenie kódu VBA zodpovedného za stiahnutie hrozby.

EarlyRat je charakterizovaný ako jednoduché, ale obmedzené zadné vrátka, určené na zhromažďovanie a prenos systémových informácií na vzdialený server. Okrem toho má schopnosť vykonávať ľubovoľné príkazy. Je pozoruhodné, že medzi EarlyRat a MagicRAT sú pozoruhodné podobnosti, napriek tomu, že sú napísané pomocou rôznych rámcov. EarlyRat využíva PureBasic, zatiaľ čo MagicRAT využíva Qt Framework.

V kontexte útokov využívajúcich zraniteľnosť Log4j Log4Shell pozorovaných v predchádzajúcom roku sa teraz objavila predtým nevídaná taktika. Útočníci boli pozorovaní pri používaní legitímnych bežných nástrojov, ako sú 3Proxy , ForkDump, NTDSDumpEx, Powerline a PuTTY , aby ďalej využívali svoje ciele a napadnuté zariadenia. Tento prístup im umožňuje využiť existujúce nástroje na ich škodlivé aktivity, čím sa zvyšuje sofistikovanosť a potenciálny vplyv útokov.