EarlyRat Malware

Studiuesit e sigurisë kibernetike kanë vënë re se aktori i kërcënimit Andariel, i lidhur me Korenë e Veriut, ka zgjeruar arsenalin e tij duke përdorur një malware të sapo zbuluar të quajtur EarlyRat. Mjeti keqdashës i panjohur më parë është përdorur nga aktorët e kërcënimit në fushatat e phishing. Kjo shtesë përmirëson më tej gamën e gjerë të mjeteve dhe taktikave të Andariel.

Për të infektuar makineritë e synuara, kriminelët kibernetikë Andariel përfitojnë nga një shfrytëzim Log4j, duke shfrytëzuar dobësitë në bibliotekën e regjistrimit të Log4j. Nëpërmjet këtij shfrytëzimi, aktori i kërcënimit fiton akses në sistemin e komprometuar dhe vazhdon të shkarkojë malware shtesë nga serveri Command-and-Control (C2) i operacionit të sulmit.

Andariel është i lidhur me grupe të tjera hakerësh të Koresë së Veriut

Andariel, i njohur gjithashtu me pseudonimet Silent Chollima dhe Stonefly, operon nën ombrellën e Grupit Lazarus së bashku me elementë të tjerë vartës si APT38 (aka BlueNoroff). Ky aktor i kërcënimit është i lidhur gjithashtu me Lab 110, një njësi e shquar hakerimi me bazë në Korenë e Veriut.

Aktivitetet e Andariel përfshijnë një sërë operacionesh, duke përfshirë spiunazhin që synon qeverinë e huaj dhe subjektet ushtarake me interes strategjik. Për më tepër, grupi angazhohet në aktivitete të krimit kibernetik për të gjeneruar të ardhura shtesë për kombin, i cili është nën sanksione të rënda.

Arsenali i Andariel përfshin armë të ndryshme kibernetike, duke përfshirë famëkeqin Maui Ransomware. Për më tepër, grupi përdor Trojan dhe porta të pasme me akses në distancë, si Dtrack (i njohur gjithashtu si Valefor dhe Preft), NukeSped (aka Manuscrypt), MagicRAT dhe YamaBot .

NukeSped, në veçanti, posedon një gamë të gjerë aftësish që i mundësojnë të krijojë dhe të përfundojë proceset, si dhe të manipulojë skedarët në hostin e komprometuar. Veçanërisht, përdorimi i NukeSped përputhet me një fushatë të njohur si TraderTraitor, e cila është gjurmuar nga Agjencia Amerikane e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA).

Shfrytëzimi i dobësisë Log4Shell nga Andariel në serverët e patched VMware Horizon u dokumentua më parë nga Qendra e Reagimit Emergjent të Sigurisë AhnLab (ASEC) dhe Cisco Talos në 2022, duke theksuar përpjekjet e vazhdueshme të grupit për të armatosur dobësitë e reja.

EarlyRat mbledh informacion dhe ekzekuton komanda ndërhyrëse në pajisjet e shkelura

Malware EarlyRat përhapet përmes emaileve phishing që përmbajnë dokumente mashtruese të Microsoft Word. Me hapjen e këtyre skedarëve, marrësve u kërkohet të aktivizojnë makro, duke shkaktuar ekzekutimin e kodit VBA përgjegjës për shkarkimin e kërcënimit.

EarlyRat karakterizohet si një derë e pasme e drejtpërdrejtë, por e kufizuar, e krijuar për të mbledhur dhe transmetuar informacionin e sistemit në një server të largët. Për më tepër, ai ka aftësinë për të ekzekutuar komanda arbitrare. Veçanërisht, ka ngjashmëri të dukshme midis EarlyRat dhe MagicRAT, pavarësisht se janë shkruar duke përdorur korniza të ndryshme. EarlyRat përdor PureBasic, ndërsa MagicRAT përdor kornizën Qt.

Në kontekstin e sulmeve që shfrytëzojnë dobësinë Log4j Log4Shell të vërejtur në vitin e kaluar, tani është shfaqur një taktikë e paparë më parë. Sulmuesit janë vërejtur duke përdorur mjete legjitime jashtë raftit, të tilla si 3Proxy , ForkDump, NTDSDumpEx, Powerline dhe PuTTY , për të shfrytëzuar më tej objektivat e tyre dhe pajisjet e komprometuara. Kjo qasje u lejon atyre të përdorin mjetet ekzistuese për aktivitetet e tyre me qëllim të keq, duke rritur sofistikimin dhe ndikimin e mundshëm të sulmeve.