EarlyRat Malware

Истраживачи сајбер безбедности приметили су да је актер претњи Андариел, повезан са Северном Корејом, проширио свој арсенал коришћењем новооткривеног малвера под називом ЕарлиРат. Претходно непознати злонамерни алат применили су актери претњи у пхисхинг кампањама. Овај додатак додатно побољшава Андариелов широк спектар алата и тактика.

Да би заразили циљане машине, Андариел сајбер криминалци користе предности Лог4ј експлоатације, користећи рањивости у Лог4ј библиотеци евиденције. Кроз овај експлоат, актер претње добија приступ компромитованом систему и наставља да преузима додатни малвер са сервера за команду и контролу (Ц2) операције напада.

Андариел је повезан са другим севернокорејским хакерским групама

Андариел, такође познат под псеудонимима Силент Цхоллима и Стонефли, ради под окриљем Лазарус групе заједно са другим подређеним елементима као што је АПТ38 (ака БлуеНорофф). Овај актер претње је такође повезан са Лаб 110, истакнутом хакерском јединицом са седиштем у Северној Кореји.

Андариелове активности обухватају низ операција, укључујући шпијунажу усмерену на стране владе и војне субјекте од стратешког интереса. Поред тога, група се бави активностима сајбер криминала како би створила додатни приход за нацију, која је под тешким санкцијама.

Арсенал Андариел- а се састоји од различитог сајбер оружја, укључујући озлоглашени Мауи Рансомваре. Поред тога, група користи бројне тројанце и бекдоре за даљински приступ, као што су Дтрацк (такође познат као Валефор и Префт), НукеСпед (ака Манусцрипт), МагицРАТ и ИамаБот .

НукеСпед, посебно, поседује широк спектар могућности које му омогућавају да креира и прекине процесе, као и да манипулише датотекама на компромитованом хосту. Приметно је да се употреба НукеСпед-а преклапа са кампањом познатом као ТрадерТраитор, коју је пратила Америчка агенција за сајбер безбедност и безбедност инфраструктуре (ЦИСА).

Андариелова експлоатација Лог4Схелл рањивости у незакрпљеним ВМваре Хоризон серверима је претходно документована од стране АхнЛаб Сецурити Емергенци Респонсе Центер (АСЕЦ) и Цисцо Талос-а 2022. године, наглашавајући сталне напоре групе да оружају рањивости у настајању.

ЕарлиРат прикупља информације и извршава наметљиве команде на оштећеним уређајима

Злонамерни софтвер ЕарлиРат се шири путем пхисхинг порука е-поште које садрже лажне Мицрософт Ворд документе. Након отварања ових датотека, примаоци ће бити упитани да омогуће макрое, што покреће извршавање ВБА кода одговорног за преузимање претње.

ЕарлиРат је окарактерисан као једноставан, али ограничен бацкдоор, дизајниран да прикупља и преноси системске информације на удаљени сервер. Поред тога, има могућност да извршава произвољне команде. Значајно је да постоје значајне сличности између ЕарлиРат-а и МагицРАТ-а, упркос томе што су написане користећи различите оквире. ЕарлиРат користи ПуреБасиц, док МагицРАТ користи Кт Фрамеворк.

У контексту напада који искоришћавају рањивост Лог4ј Лог4Схелл уочених у претходној години, сада се појавила досад невиђена тактика. Примећено је да нападачи користе легитимне готове алате, као што су 3Проки , ФоркДумп, НТДСДумпЕк, Поверлине и ПуТТИ , како би даље искоришћавали своје мете и компромитоване уређаје. Овај приступ им омогућава да искористе постојеће алате за своје злонамерне активности, повећавајући софистицираност и потенцијални утицај напада.