EarlyRat மால்வேர்

வட கொரியாவுடன் தொடர்புடைய அச்சுறுத்தல் நடிகர் Andariel, EarlyRat எனப்படும் புதிதாக கண்டுபிடிக்கப்பட்ட தீம்பொருளைப் பயன்படுத்தி தனது ஆயுதக் களஞ்சியத்தை விரிவுபடுத்தியதை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர். முன்னர் அறியப்படாத தீங்கிழைக்கும் கருவி, ஃபிஷிங் பிரச்சாரங்களில் அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்பட்டது. இந்தச் சேர்த்தல் Andariel இன் பரந்த அளவிலான கருவிகள் மற்றும் தந்திரோபாயங்களை மேலும் மேம்படுத்துகிறது.

இலக்கு இயந்திரங்களைப் பாதிக்க, Andariel சைபர் கிரைமினல்கள் Log4j சுரண்டலைப் பயன்படுத்தி, Log4j பதிவு நூலகத்தில் உள்ள பாதிப்புகளை மேம்படுத்துகின்றனர். இந்த சுரண்டலின் மூலம், அச்சுறுத்தல் நடிகர் சமரசம் செய்யப்பட்ட கணினிக்கான அணுகலைப் பெறுகிறார் மற்றும் தாக்குதல் செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து கூடுதல் தீம்பொருளைப் பதிவிறக்குகிறார்.

Andariel பிற வட கொரிய ஹேக்கர் குழுக்களுடன் இணைக்கப்பட்டுள்ளார்

சைலண்ட் சோல்லிமா மற்றும் ஸ்டோன்ஃபிளை என்ற மாற்றுப்பெயர்களால் அறியப்படும் ஆண்டரியேல், லாசரஸ் குழுமத்தின் குடையின் கீழ் APT38 (அக்கா ப்ளூநோரோஃப்) போன்ற பிற துணை உறுப்புகளுடன் இணைந்து செயல்படுகிறது. இந்த அச்சுறுத்தல் நடிகர் வட கொரியாவை தளமாகக் கொண்ட ஒரு முக்கிய ஹேக்கிங் பிரிவான லேப் 110 உடன் தொடர்புடையவர்.

அன்டரியலின் செயல்பாடுகள் வெளிநாட்டு அரசாங்கத்தையும், மூலோபாய ஆர்வமுள்ள இராணுவ நிறுவனங்களையும் குறிவைத்து உளவு பார்ப்பது உட்பட பலவிதமான செயல்பாடுகளை உள்ளடக்கியது. கூடுதலாக, குழுவானது சைபர் கிரைம் நடவடிக்கைகளில் ஈடுபட்டு தேசத்திற்கு கூடுதல் வருமானத்தை ஈட்டுகிறது, இது கடுமையான தடைகளுக்கு உட்பட்டுள்ளது.

Andariel இன் ஆயுதக் களஞ்சியமானது பல்வேறு இணைய ஆயுதங்களைக் கொண்டுள்ளது, இதில் மோசமான Maui Ransomware உட்பட. கூடுதலாக, Dtrack (Valefor மற்றும் Preft என்றும் அறியப்படுகிறது), NukeSped (Manuscrypt), MagicRAT மற்றும் YamaBot போன்ற பல தொலைநிலை அணுகல் ட்ரோஜான்கள் மற்றும் பின்கதவுகளை குழு பயன்படுத்துகிறது.

குறிப்பாக, NukeSped ஆனது பலவிதமான திறன்களைக் கொண்டுள்ளது, இது செயல்முறைகளை உருவாக்க மற்றும் நிறுத்த உதவுகிறது, அத்துடன் சமரசம் செய்யப்பட்ட ஹோஸ்டில் கோப்புகளை கையாளவும் உதவுகிறது. குறிப்பிடத்தக்க வகையில், NukeSped இன் பயன்பாடு TraderTraitor எனப்படும் பிரச்சாரத்துடன் ஒன்றுடன் ஒன்று உள்ளது, இது US Cybersecurity and Infrastructure Security Agency (CISA) ஆல் கண்காணிக்கப்பட்டது.

இணைக்கப்படாத VMware Horizon சேவையகங்களில் உள்ள Log4Shell பாதிப்பை Andariel சுரண்டியது முன்னர் AhnLab பாதுகாப்பு அவசரநிலைப் பதில் மையம் (ASEC) மற்றும் Cisco Talos ஆகியவற்றால் 2022 இல் ஆவணப்படுத்தப்பட்டது, இது வளர்ந்து வரும் பாதிப்புகளை ஆயுதமாக்குவதற்கான குழுவின் தொடர்ச்சியான முயற்சிகளை எடுத்துக்காட்டுகிறது.

EarlyRat தகவலைச் சேகரித்து, மீறப்பட்ட சாதனங்களில் ஊடுருவும் கட்டளைகளை செயல்படுத்துகிறது

EarlyRat தீம்பொருள் ஏமாற்றும் Microsoft Word ஆவணங்களைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்கள் மூலம் பரவுகிறது. இந்தக் கோப்புகளைத் திறந்தவுடன், பெறுநர்கள் மேக்ரோக்களை இயக்கும்படி அறிவுறுத்தப்படுகிறார்கள், இது அச்சுறுத்தலைப் பதிவிறக்குவதற்குப் பொறுப்பான VBA குறியீட்டை செயல்படுத்துவதைத் தூண்டுகிறது.

EarlyRat ஒரு நேரடியான மற்றும் வரையறுக்கப்பட்ட பின்கதவாக வகைப்படுத்தப்படுகிறது, இது கணினி தகவலைச் சேகரித்து தொலை சேவையகத்திற்கு அனுப்ப வடிவமைக்கப்பட்டுள்ளது. கூடுதலாக, இது தன்னிச்சையான கட்டளைகளை இயக்கும் திறனைக் கொண்டுள்ளது. வெவ்வேறு கட்டமைப்புகளைப் பயன்படுத்தி எழுதப்பட்டிருந்தாலும், EarlyRat மற்றும் MagicRAT ஆகியவற்றுக்கு இடையே குறிப்பிடத்தக்க ஒற்றுமைகள் இருப்பது குறிப்பிடத்தக்கது. EarlyRat PureBasic ஐப் பயன்படுத்துகிறது, அதே நேரத்தில் MagicRAT Qt கட்டமைப்பைப் பயன்படுத்துகிறது.

முந்தைய ஆண்டில் காணப்பட்ட Log4j Log4Shell பாதிப்பைப் பயன்படுத்திக் கொள்ளும் தாக்குதல்களின் பின்னணியில், முன்பு காணப்படாத ஒரு தந்திரம் இப்போது வெளிப்பட்டுள்ளது. தாக்குபவர்கள், 3Proxy , ForkDump, NTDSDumpEx, Powerline மற்றும் PuTTY போன்ற முறையான ஆஃப்-தி-ஷெல்ஃப் கருவிகளைப் பயன்படுத்தி, அவர்களின் இலக்குகள் மற்றும் சமரசம் செய்யப்பட்ட சாதனங்களை மேலும் பயன்படுத்துவதை அவதானித்தனர். இந்த அணுகுமுறை அவர்களின் தீங்கிழைக்கும் செயல்களுக்கு இருக்கும் கருவிகளைப் பயன்படுத்த அனுமதிக்கிறது, தாக்குதல்களின் நுட்பத்தையும் சாத்தியமான தாக்கத்தையும் அதிகரிக்கிறது.