Zlonamerna programska oprema EarlyRat

Raziskovalci kibernetske varnosti so opazili, da je akter grožnje Andariel, povezan s Severno Korejo, razširil svoj arzenal z uporabo na novo odkrite zlonamerne programske opreme, imenovane EarlyRat. Prej neznano zlonamerno orodje so akterji groženj uporabili v kampanjah lažnega predstavljanja. Ta dodatek še izboljša Andarielovo široko paleto orodij in taktik.

Da bi okužili ciljne stroje, kiberkriminalci Andariel izkoristijo izkoriščanje Log4j, pri čemer izkoriščajo ranljivosti v knjižnici za beleženje Log4j. S tem izkoriščanjem akter grožnje pridobi dostop do ogroženega sistema in nadaljuje s prenosom dodatne zlonamerne programske opreme s strežnika Command-and-Control (C2) operacije napada.

Andariel je povezan z drugimi severnokorejskimi hekerskimi skupinami

Andariel, znan tudi pod vzdevkoma Silent Chollima in Stonefly, deluje pod okriljem skupine Lazarus skupaj z drugimi podrejenimi elementi, kot je APT38 (aka BlueNoroff). Ta akter grožnje je povezan tudi z Lab 110, ugledno hekersko enoto s sedežem v Severni Koreji.

Andarielove dejavnosti obsegajo vrsto operacij, vključno z vohunjenjem, usmerjenim proti tujim vladnim in vojaškim subjektom strateškega pomena. Poleg tega se skupina ukvarja s kibernetskimi kriminalnimi dejavnostmi, da bi ustvarila dodaten dohodek za državo, ki je pod strogimi sankcijami.

Arzenal Andariela obsega različna kibernetska orožja, vključno z razvpito izsiljevalsko programsko opremo Maui. Poleg tega skupina uporablja številne trojance za oddaljen dostop in stranska vrata, kot so Dtrack (znan tudi kot Valefor in Preft), NukeSped (aka Manuscrypt), MagicRAT in YamaBot .

Zlasti NukeSped ima široko paleto zmogljivosti, ki mu omogočajo ustvarjanje in prekinitev procesov ter manipuliranje z datotekami na ogroženem gostitelju. Predvsem se uporaba NukeSped prekriva s kampanjo, znano kot TraderTraitor, ki ji je sledila Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA).

Andarielovo izkoriščanje ranljivosti Log4Shell v nepopravljenih strežnikih VMware Horizon sta predhodno dokumentirala AhnLab Security Emergency Response Center (ASEC) in Cisco Talos leta 2022, kar je poudarilo nenehna prizadevanja skupine, da bi oborožila nastajajoče ranljivosti.

EarlyRat zbira informacije in izvaja vsiljive ukaze na napravah, ki so bile poškodovane

Zlonamerna programska oprema EarlyRat se širi prek lažnih e-poštnih sporočil, ki vsebujejo zavajajoče dokumente Microsoft Word. Ko odprejo te datoteke, so prejemniki pozvani, naj omogočijo makre, kar sproži izvajanje kode VBA, odgovorne za prenos grožnje.

EarlyRat je označen kot enostavna, a omejena stranska vrata, zasnovana za zbiranje in prenos sistemskih informacij na oddaljeni strežnik. Poleg tega ima zmožnost izvajanja poljubnih ukazov. Predvsem obstajajo opazne podobnosti med EarlyRat in MagicRAT, čeprav sta bila napisana z uporabo različnih okvirov. EarlyRat uporablja PureBasic, MagicRAT pa Qt Framework.

V kontekstu napadov, ki izkoriščajo ranljivost Log4j Log4Shell, opaženih v prejšnjem letu, se je zdaj pojavila prej nevidena taktika. Opaženo je bilo, da napadalci uporabljajo zakonita standardna orodja, kot so 3Proxy , ForkDump, NTDSDumpEx, Powerline in PuTTY , za nadaljnje izkoriščanje svojih tarč in ogroženih naprav. Ta pristop jim omogoča, da izkoristijo obstoječa orodja za svoje zlonamerne dejavnosti, s čimer povečajo prefinjenost in potencialni učinek napadov.