EarlyRat Malware

Cybersäkerhetsforskare har märkt att hotaktören Andariel, associerad med Nordkorea, har utökat sin arsenal genom att använda en nyupptäckt skadlig kod som heter EarlyRat. Det tidigare okända skadliga verktyget har implementerats av hotaktörerna i nätfiskekampanjer. Detta tillägg förbättrar Andariels omfattande utbud av verktyg och taktik ytterligare.

För att infektera riktade maskiner drar Andariel-cyberbrottslingarna fördel av en Log4j-exploatering och utnyttjar sårbarheter i Log4j-loggningsbiblioteket. Genom denna exploatering får hotaktören tillgång till det komprometterade systemet och fortsätter att ladda ner ytterligare skadlig programvara från Command-and-Control-servern (C2) för attackoperationen.

Andariel är kopplad till andra nordkoreanska hackergrupper

Andariel, även känd under aliasen Silent Chollima och Stonefly, verkar under paraplyet av Lazarus Group tillsammans med andra underordnade element som APT38 (aka BlueNoroff). Denna hotaktör är också associerad med Lab 110, en framstående hackningsenhet baserad i Nordkorea.

Andariels verksamhet omfattar en rad operationer, inklusive spionage mot utländsk regering och militära enheter av strategiskt intresse. Dessutom engagerar gruppen sig i cyberbrottsaktiviteter för att generera extra inkomster för nationen, som är under hårda sanktioner.

Andariels arsenal består av olika cybervapen, inklusive den ökända Maui Ransomware. Dessutom använder gruppen många trojaner och bakdörrar för fjärråtkomst, såsom Dtrack (även känd som Valefor och Preft), NukeSped (aka Manuscrypt), MagicRAT och YamaBot .

NukeSped, i synnerhet, har ett brett utbud av möjligheter som gör det möjligt att skapa och avsluta processer, samt manipulera filer på den komprometterade värden. Noterbart är att användningen av NukeSped överlappar en kampanj känd som TraderTraitor, som har spårats av US Cybersecurity and Infrastructure Security Agency (CISA).

Andariels utnyttjande av Log4Shell-sårbarheten i oparpade VMware Horizon-servrar dokumenterades tidigare av AhnLab Security Emergency Response Center (ASEC) och Cisco Talos 2022, vilket lyfter fram gruppens pågående ansträngningar för att beväpna nya sårbarheter.

EarlyRat samlar in information och utför påträngande kommandon på de intrångade enheterna

Skadlig programvara EarlyRat sprids genom nätfiske-e-postmeddelanden som innehåller vilseledande Microsoft Word-dokument. När dessa filer öppnas uppmanas mottagarna att aktivera makron, vilket utlöser exekveringen av VBA-koden som ansvarar för nedladdningen av hotet.

EarlyRat karakteriseras som en enkel men begränsad bakdörr, designad för att samla in och överföra systeminformation till en fjärrserver. Dessutom har den förmågan att utföra godtyckliga kommandon. Noterbart finns det anmärkningsvärda likheter mellan EarlyRat och MagicRAT, trots att de skrivits med olika ramverk. EarlyRat använder PureBasic, medan MagicRAT använder Qt Framework.

I samband med attacker som utnyttjar Log4j Log4Shell-sårbarheten som observerades under föregående år, har en tidigare osynlig taktik nu dykt upp. Angripare har observerats använda sig av legitima färdiga verktyg, såsom 3Proxy , ForkDump, NTDSDumpEx, Powerline och PuTTY , för att utnyttja sina mål och komprometterade enheter ytterligare. Detta tillvägagångssätt gör att de kan utnyttja befintliga verktyg för sina skadliga aktiviteter, vilket ökar attackernas sofistikerade och potentiella effekter.