มัลแวร์ EarlyRat

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้สังเกตเห็นว่า Andariel ซึ่งเป็นนักแสดงภัยคุกคามที่เกี่ยวข้องกับเกาหลีเหนือได้ขยายคลังแสงของตนโดยใช้มัลแวร์ที่เพิ่งค้นพบชื่อ EarlyRat เครื่องมือที่เป็นอันตรายที่ไม่รู้จักก่อนหน้านี้ได้ถูกปรับใช้โดยผู้คุกคามในแคมเปญฟิชชิง การเพิ่มนี้ช่วยเสริมเครื่องมือและกลยุทธ์ที่หลากหลายของ Andariel

อาชญากรไซเบอร์ Andariel ใช้ประโยชน์จากช่องโหว่ Log4j โดยใช้ประโยชน์จากช่องโหว่ในไลบรารีการบันทึก Log4j ผู้คุกคามสามารถเข้าถึงระบบที่ถูกบุกรุกและดำเนินการดาวน์โหลดมัลแวร์เพิ่มเติมจากเซิร์ฟเวอร์ Command-and-Control (C2) ของการโจมตี

Andariel เชื่อมต่อกับกลุ่มแฮ็กเกอร์เกาหลีเหนืออื่น ๆ

Andariel หรือที่รู้จักกันในนามแฝงว่า Silent Chollima และ Stonefly ดำเนินงานภายใต้ร่มของ Lazarus Group ควบคู่ไปกับองค์ประกอบย่อยอื่นๆ เช่น APT38 (หรือที่รู้จักในชื่อ BlueNoroff) ผู้คุกคามรายนี้ยังเกี่ยวข้องกับ Lab 110 ซึ่งเป็นหน่วยเจาะระบบที่โดดเด่นในเกาหลีเหนือ

กิจกรรมของ Andariel ครอบคลุมการปฏิบัติการต่างๆ รวมถึงการจารกรรมที่กำหนดเป้าหมายรัฐบาลต่างประเทศและหน่วยงานทางทหารที่น่าสนใจเชิงกลยุทธ์ นอกจากนี้ กลุ่มนี้ยังมีส่วนร่วมในกิจกรรมอาชญากรรมทางไซเบอร์เพื่อสร้างรายได้เสริมให้กับประเทศชาติ ซึ่งอยู่ภายใต้การคว่ำบาตรอย่างหนัก

คลังแสงของ Andariel ประกอบด้วยอาวุธไซเบอร์ต่างๆ รวมถึง Maui Ransomware ที่มีชื่อเสียง นอกจากนี้ กลุ่มยังใช้โทรจันและแบ็คดอร์เพื่อการเข้าถึงระยะไกลจำนวนมาก เช่น Dtrack (หรือที่เรียกว่า Valefor และ Preft), NukeSped (หรือที่เรียกว่า Manuscrypt), MagicRAT และ YamaBot

โดยเฉพาะอย่างยิ่ง NukeSped มีความสามารถมากมายที่ช่วยให้สามารถสร้างและยุติกระบวนการ ตลอดจนจัดการไฟล์บนโฮสต์ที่ถูกบุกรุก โดยเฉพาะอย่างยิ่ง การใช้ NukeSped ทับซ้อนกับแคมเปญที่รู้จักกันในชื่อ TraderTraitor ซึ่งได้รับการติดตามโดย US Cybersecurity and Infrastructure Security Agency (CISA)

ก่อนหน้านี้ Andariel ใช้ประโยชน์จากช่องโหว่ Log4Shell ในเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์ โดยก่อนหน้านี้ AhnLab Security Emergency Response Center (ASEC) และ Cisco Talos จัดทำเป็นเอกสาร โดยเน้นย้ำถึงความพยายามอย่างต่อเนื่องของกลุ่มในการติดอาวุธให้กับช่องโหว่ที่เกิดขึ้นใหม่

EarlyRat รวบรวมข้อมูลและดำเนินการคำสั่งที่ล่วงล้ำบนอุปกรณ์ที่ถูกละเมิด

มัลแวร์ EarlyRat แพร่กระจายผ่านอีเมลฟิชชิ่งที่มีเอกสาร Microsoft Word ที่หลอกลวง เมื่อเปิดไฟล์เหล่านี้ ผู้รับจะได้รับแจ้งให้เปิดใช้งานมาโคร ซึ่งทริกเกอร์การดำเนินการของโค้ด VBA ที่รับผิดชอบในการดาวน์โหลดภัยคุกคาม

EarlyRat มีลักษณะเป็นแบ็คดอร์ที่ตรงไปตรงมาแต่จำกัด ออกแบบมาเพื่อรวบรวมและส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ระยะไกล นอกจากนี้ยังมีความสามารถในการดำเนินการคำสั่งโดยพลการ มีความคล้ายคลึงกันอย่างเห็นได้ชัดระหว่าง EarlyRat และ MagicRAT แม้ว่าจะถูกเขียนขึ้นโดยใช้เฟรมเวิร์กที่แตกต่างกันก็ตาม EarlyRat ใช้ PureBasic ในขณะที่ MagicRAT ใช้ Qt Framework

ในบริบทของการโจมตีโดยใช้ช่องโหว่ Log4j Log4Shell ที่ตรวจพบในปีที่แล้ว ตอนนี้กลยุทธ์ที่มองไม่เห็นก่อนหน้านี้ได้เกิดขึ้นแล้ว มีการสังเกตว่าผู้โจมตีใช้เครื่องมือที่หาซื้อได้ง่าย เช่น 3Proxy , ForkDump, NTDSDumpEx, Powerline และ PuTTY เพื่อใช้ประโยชน์จากเป้าหมายและอุปกรณ์ที่ถูกบุกรุกต่อไป วิธีการนี้ช่วยให้พวกเขาใช้ประโยชน์จากเครื่องมือที่มีอยู่สำหรับกิจกรรมที่เป็นอันตราย เพิ่มความซับซ้อนและผลกระทบที่อาจเกิดขึ้นจากการโจมตี