EarlyRat Kötü Amaçlı Yazılımı

Siber güvenlik araştırmacıları, Kuzey Kore ile ilişkili tehdit aktörü Andariel'in EarlyRat adlı yeni keşfedilen bir kötü amaçlı yazılım kullanarak cephaneliğini genişlettiğini fark ettiler. Daha önce bilinmeyen kötü amaçlı araç, tehdit aktörleri tarafından kimlik avı kampanyalarında konuşlandırıldı. Bu ekleme, Andariel'in kapsamlı araç ve taktik yelpazesini daha da geliştiriyor.

Andariel siber suçluları, hedeflenen makinelere bulaşmak için Log4j günlük kitaplığındaki güvenlik açıklarından yararlanarak bir Log4j açıklarından yararlanır. Bu istismar yoluyla, tehdit aktörü güvenliği ihlal edilmiş sisteme erişim elde eder ve saldırı operasyonunun Komuta ve Kontrol (C2) sunucusundan ek kötü amaçlı yazılım indirmeye devam eder.

Andariel, Diğer Kuzey Koreli Hacker Gruplarıyla Bağlantılı

Silent Chollima ve Stonefly takma adlarıyla da bilinen Andariel, APT38 (namı diğer BlueNoroff) gibi diğer alt unsurların yanı sıra Lazarus Group çatısı altında faaliyet gösteriyor. Bu tehdit aktörü, Kuzey Kore merkezli önde gelen bir bilgisayar korsanlığı birimi olan Lab 110 ile de ilişkilidir.

Andariel'in faaliyetleri, stratejik çıkarları olan yabancı hükümet ve askeri kuruluşları hedef alan casusluk da dahil olmak üzere bir dizi operasyonu kapsar. Ayrıca grup, ağır yaptırımlar altındaki ülkeye ek gelir sağlamak için siber suç faaliyetlerinde bulunuyor.

Andariel'in cephaneliği, kötü şöhretli Maui Fidye Yazılımı da dahil olmak üzere çeşitli siber silahlardan oluşur. Ayrıca grup, Dtrack (Valefor ve Preft olarak da bilinir), NukeSped (Manuscrypt olarak da bilinir), MagicRAT ve YamaBot gibi çok sayıda uzaktan erişim Truva Atı ve arka kapı kullanır.

Özellikle NukeSped, güvenliği ihlal edilmiş ana bilgisayardaki dosyaları değiştirmenin yanı sıra süreçler oluşturmasına ve sonlandırmasına olanak tanıyan çok çeşitli yeteneklere sahiptir. Özellikle NukeSped'in kullanımı, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) tarafından izlenen ve TraderTraitor olarak bilinen bir kampanyayla örtüşüyor.

Andariel'in yama uygulanmamış VMware Horizon sunucularındaki Log4Shell güvenlik açığından yararlanması, daha önce 2022'de AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) ve Cisco Talos tarafından belgelenmişti ve bu, grubun ortaya çıkan güvenlik açıklarını silahlandırmaya yönelik devam eden çabalarının altını çiziyordu.

EarlyRat, İhlal Edilen Cihazlarda Bilgi Toplar ve Araya Giren Komutları Yürütür

EarlyRat kötü amaçlı yazılımı, aldatıcı Microsoft Word belgeleri içeren kimlik avı e-postaları aracılığıyla yayılır. Bu dosyaları açtıktan sonra, alıcılardan makroları etkinleştirmeleri istenerek tehdidin indirilmesinden sorumlu VBA kodunun yürütülmesi tetiklenir.

EarlyRat, sistem bilgilerini toplamak ve uzak bir sunucuya iletmek için tasarlanmış, basit ancak sınırlı bir arka kapı olarak karakterize edilir. Ek olarak, isteğe bağlı komutları yürütme yeteneğine sahiptir. Farklı çerçeveler kullanılarak yazılmış olmalarına rağmen EarlyRat ve MagicRAT arasında dikkate değer benzerlikler vardır. EarlyRat, PureBasic'i kullanırken MagicRAT, Qt Çerçevesini kullanır.

Geçtiğimiz yıl gözlemlenen Log4j Log4Shell güvenlik açığından yararlanılarak gerçekleştirilen saldırılar bağlamında, şimdi de daha önce görülmemiş bir taktik ortaya çıktı. Saldırganların, hedeflerini ve güvenliği ihlal edilmiş cihazları daha fazla istismar etmek için 3Proxy , ForkDump, NTDSDumpEx, Powerline ve PuTTY gibi kullanıma hazır meşru araçları kullandıkları gözlemlenmiştir. Bu yaklaşım, kötü amaçlı faaliyetleri için mevcut araçlardan yararlanmalarına olanak tanıyarak saldırıların karmaşıklığını ve potansiyel etkisini artırır.