EarlyRat Malware
Napansin ng mga mananaliksik sa cybersecurity na pinalawak ng banta ng aktor na si Andariel, na nauugnay sa North Korea, ang arsenal nito sa pamamagitan ng paggamit ng bagong natuklasang malware na tinatawag na EarlyRat. Ang dating hindi kilalang malisyosong tool ay na-deploy ng mga banta sa mga kampanya sa phishing. Ang karagdagan na ito ay higit na nagpapahusay sa malawak na hanay ng mga tool at taktika ni Andariel.
Upang mahawa ang mga naka-target na makina, sinasamantala ng mga cybercriminal ng Andariel ang isang pagsasamantala sa Log4j, na ginagamit ang mga kahinaan sa log4j logging library. Sa pamamagitan ng pagsasamantalang ito, nagkakaroon ng access ang aktor ng banta sa nakompromisong system at nagpapatuloy sa pag-download ng karagdagang malware mula sa Command-and-Control (C2) server ng operasyon ng pag-atake.
Si Andariel ay Konektado sa Iba Pang North Korean Hacker Groups
Si Andariel, na kilala rin sa mga alyas na Silent Chollima at Stonefly, ay tumatakbo sa ilalim ng payong ng Lazarus Group kasama ng iba pang mga subordinate na elemento tulad ng APT38 (aka BlueNoroff). Ang banta na aktor na ito ay nauugnay din sa Lab 110, isang kilalang yunit ng pag-hack na nakabase sa North Korea.
Ang mga aktibidad ni Andariel ay sumasaklaw sa isang hanay ng mga operasyon, kabilang ang espionage na nagta-target sa dayuhang pamahalaan at mga entidad ng militar na may estratehikong interes. Bilang karagdagan, ang grupo ay nakikibahagi sa mga aktibidad sa cybercrime upang makabuo ng karagdagang kita para sa bansa, na nasa ilalim ng mabibigat na parusa.
Ang arsenal ng Andariel ay binubuo ng iba't ibang cyber weapon, kabilang ang kilalang Maui Ransomware. Bukod pa rito, gumagamit ang grupo ng maraming remote access na Trojan at backdoors, tulad ng Dtrack (kilala rin bilang Valefor at Preft), NukeSped (aka Manuscrypt), MagicRAT at YamaBot .
Ang NukeSped, sa partikular, ay nagtataglay ng malawak na hanay ng mga kakayahan na nagbibigay-daan dito upang lumikha at wakasan ang mga proseso, pati na rin ang pagmamanipula ng mga file sa nakompromisong host. Kapansin-pansin, ang paggamit ng NukeSped ay nag-o-overlap sa isang campaign na kilala bilang TraderTraitor, na sinusubaybayan ng US Cybersecurity and Infrastructure Security Agency (CISA).
Ang pagsasamantala ni Andariel sa kahinaan ng Log4Shell sa mga hindi naka-patch na VMware Horizon server ay dati nang naidokumento ng AhnLab Security Emergency Response Center (ASEC) at Cisco Talos noong 2022, na itinatampok ang patuloy na pagsisikap ng grupo na gamitin ang mga umuusbong na kahinaan.
Ang EarlyRat ay Nangongolekta ng Impormasyon at Nagsasagawa ng Mga Mapanghimasok na Utos sa Mga Nilabag na Device
Ang EarlyRat malware ay kumakalat sa pamamagitan ng mga phishing na email na naglalaman ng mga mapanlinlang na dokumento ng Microsoft Word. Sa pagbubukas ng mga file na ito, sinenyasan ang mga tatanggap na paganahin ang mga macro, na nagti-trigger sa pagpapatupad ng VBA code na responsable sa pag-download ng pagbabanta.
Ang EarlyRat ay nailalarawan bilang isang prangka ngunit limitadong backdoor, na idinisenyo upang mangalap at magpadala ng impormasyon ng system sa isang malayong server. Bukod pa rito, mayroon itong kakayahang magsagawa ng mga di-makatwirang utos. Kapansin-pansin, may mga kapansin-pansing pagkakahawig sa pagitan ng EarlyRat at MagicRAT, sa kabila ng pagkakasulat gamit ang iba't ibang mga frameworks. Ginagamit ng EarlyRat ang PureBasic, habang ginagamit ng MagicRAT ang Qt Framework.
Sa konteksto ng mga pag-atake na nagsasamantala sa kahinaan ng Log4j Log4Shell na naobserbahan noong nakaraang taon, lumitaw na ngayon ang isang hindi nakikitang taktika. Ang mga umaatake ay naobserbahang gumagamit ng mga lehitimong off-the-shelf na tool, gaya ng 3Proxy , ForkDump, NTDSDumpEx, Powerline, at PuTTY , upang samantalahin pa ang kanilang mga target at nakompromisong device. Binibigyang-daan sila ng diskarteng ito na gamitin ang mga umiiral nang tool para sa kanilang mga malisyosong aktibidad, pinapataas ang pagiging sopistikado at potensyal na epekto ng mga pag-atake.
