EarlyRat Malware

ఉత్తర కొరియాతో సంబంధం ఉన్న బెదిరింపు నటుడు Andariel, కొత్తగా కనుగొన్న EarlyRat అనే మాల్వేర్‌ని ఉపయోగించడం ద్వారా తన ఆయుధశాలను విస్తరించినట్లు సైబర్‌ సెక్యూరిటీ పరిశోధకులు గమనించారు. మునుపు తెలియని హానికరమైన సాధనం ఫిషింగ్ ప్రచారాలలో బెదిరింపు నటులచే అమలు చేయబడింది. ఈ జోడింపు Andariel యొక్క విస్తృతమైన సాధనాలు మరియు వ్యూహాలను మరింత మెరుగుపరుస్తుంది.

టార్గెటెడ్ మెషీన్‌లను ఇన్ఫెక్ట్ చేయడానికి, Andariel సైబర్‌క్రిమినల్స్ Log4j దోపిడీని సద్వినియోగం చేసుకుంటారు, Log4j లాగింగ్ లైబ్రరీలోని దుర్బలత్వాలను ప్రభావితం చేస్తారు. ఈ దోపిడీ ద్వారా, బెదిరింపు నటుడు రాజీపడిన సిస్టమ్‌కు ప్రాప్యతను పొందుతాడు మరియు దాడి ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి అదనపు మాల్వేర్‌ను డౌన్‌లోడ్ చేయడానికి ముందుకు వెళ్తాడు.

Andariel ఇతర ఉత్తర కొరియా హ్యాకర్ గ్రూప్‌లకు కనెక్ట్ చేయబడింది

సైలెంట్ చోల్లిమా మరియు స్టోన్‌ఫ్లై అనే మారుపేరులతో కూడా పిలువబడే అందరీల్, APT38 (అకా బ్లూనోరోఫ్) వంటి ఇతర అధీన అంశాలతో పాటు లాజరస్ గ్రూప్ యొక్క గొడుగు కింద పనిచేస్తుంది. ఈ బెదిరింపు నటుడు ఉత్తర కొరియాలో ఉన్న ప్రముఖ హ్యాకింగ్ యూనిట్ ల్యాబ్ 110తో కూడా సంబంధం కలిగి ఉన్నాడు.

Andariel యొక్క కార్యకలాపాలు విదేశీ ప్రభుత్వం మరియు వ్యూహాత్మక ఆసక్తి ఉన్న సైనిక సంస్థలను లక్ష్యంగా చేసుకునే గూఢచర్యంతో సహా అనేక రకాల కార్యకలాపాలను కలిగి ఉంటాయి. అదనంగా, భారీ ఆంక్షల కింద ఉన్న దేశం కోసం అనుబంధ ఆదాయాన్ని సంపాదించడానికి సమూహం సైబర్ క్రైమ్ కార్యకలాపాలలో నిమగ్నమై ఉంది.

Andariel యొక్క ఆయుధాగారం అనేక సైబర్ ఆయుధాలను కలిగి ఉంది, అందులో అపఖ్యాతి పాలైన Maui Ransomware ఉంది. అదనంగా, సమూహం Dtrack (Valefor మరియు Preft అని కూడా పిలుస్తారు), NukeSped (అకా Manuscrypt), MagicRAT మరియు YamaBot వంటి అనేక రిమోట్ యాక్సెస్ ట్రోజన్లు మరియు బ్యాక్‌డోర్‌లను ఉపయోగించుకుంటుంది.

NukeSped, ప్రత్యేకించి, ప్రాసెస్‌లను సృష్టించడానికి మరియు ముగించడానికి, అలాగే రాజీపడిన హోస్ట్‌లో ఫైల్‌లను మార్చడానికి వీలు కల్పించే విస్తృత సామర్థ్యాలను కలిగి ఉంది. ముఖ్యంగా, యుఎస్ సైబర్‌సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) ద్వారా ట్రాక్ చేయబడిన ట్రేడర్‌ట్రైటర్ అనే ప్రచారంతో NukeSped వినియోగం అతివ్యాప్తి చెందుతుంది.

అన్‌ప్యాచ్ చేయని VMware హారిజోన్ సర్వర్‌లలోని Log4Shell దుర్బలత్వాన్ని Andariel యొక్క దోపిడీని గతంలో AhnLab సెక్యూరిటీ ఎమర్జెన్సీ రెస్పాన్స్ సెంటర్ (ASEC) మరియు 2022లో Cisco Talos ద్వారా డాక్యుమెంట్ చేసారు, ఇది అభివృద్ధి చెందుతున్న దుర్బలత్వాలను ఆయుధంగా మార్చడానికి సమూహం యొక్క కొనసాగుతున్న ప్రయత్నాలను హైలైట్ చేస్తుంది.

EarlyRat సమాచారాన్ని సేకరిస్తుంది మరియు ఉల్లంఘించిన పరికరాలపై అనుచిత ఆదేశాలను అమలు చేస్తుంది

EarlyRat మాల్వేర్ మోసపూరిత Microsoft Word డాక్యుమెంట్‌లను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌ల ద్వారా వ్యాపిస్తుంది. ఈ ఫైల్‌లను తెరిచిన తర్వాత, గ్రహీతలు మాక్రోలను ప్రారంభించమని ప్రాంప్ట్ చేయబడతారు, ముప్పును డౌన్‌లోడ్ చేయడానికి బాధ్యత వహించే VBA కోడ్ అమలును ట్రిగ్గర్ చేస్తుంది.

EarlyRat అనేది సరళమైన ఇంకా పరిమిత బ్యాక్‌డోర్‌గా వర్గీకరించబడింది, ఇది సిస్టమ్ సమాచారాన్ని రిమోట్ సర్వర్‌కు సేకరించి ప్రసారం చేయడానికి రూపొందించబడింది. అదనంగా, ఇది ఏకపక్ష ఆదేశాలను అమలు చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది. ముఖ్యంగా, వివిధ ఫ్రేమ్‌వర్క్‌లను ఉపయోగించి వ్రాయబడినప్పటికీ, EarlyRat మరియు MagicRAT మధ్య గుర్తించదగిన పోలికలు ఉన్నాయి. EarlyRat ప్యూర్‌బేసిక్‌ని ఉపయోగించుకుంటుంది, అయితే MagicRAT Qt ఫ్రేమ్‌వర్క్‌ను ఉపయోగిస్తుంది.

మునుపటి సంవత్సరంలో గమనించిన Log4j Log4Shell దుర్బలత్వాన్ని ఉపయోగించుకునే దాడుల సందర్భంలో, గతంలో చూడని వ్యూహం ఇప్పుడు ఉద్భవించింది. దాడి చేసేవారు తమ లక్ష్యాలను మరియు రాజీపడిన పరికరాలను మరింతగా ఉపయోగించుకోవడానికి 3Proxy , ForkDump, NTDSDumpEx, Powerline మరియు PutTY వంటి చట్టబద్ధమైన ఆఫ్-ది-షెల్ఫ్ సాధనాలను ఉపయోగించడాన్ని గమనించారు. ఈ విధానం వారి హానికరమైన కార్యకలాపాల కోసం ఇప్పటికే ఉన్న సాధనాలను ప్రభావితం చేయడానికి అనుమతిస్తుంది, దాడుల యొక్క అధునాతనతను మరియు సంభావ్య ప్రభావాన్ని పెంచుతుంది.