Шкідливе програмне забезпечення EarlyRat

Дослідники з кібербезпеки помітили, що загрозливий актор Andariel, пов’язаний з Північною Кореєю, розширив свій арсенал, використовуючи нещодавно виявлену шкідливу програму під назвою EarlyRat. Раніше невідомий шкідливий інструмент був застосований зловмисниками у фішингових кампаніях. Це доповнення ще більше розширює широкий спектр інструментів і тактик Andariel.

Щоб заразити цільові машини, кіберзлочинці Andariel використовують експлойт Log4j, використовуючи вразливості в бібліотеці журналів Log4j. Завдяки цьому експлойту зловмисник отримує доступ до скомпрометованої системи та завантажує додаткове зловмисне програмне забезпечення з сервера командування та керування (C2) операції атаки.

Andariel пов'язаний з іншими північнокорейськими хакерськими групами

Andariel, також відомий під псевдонімами Silent Chollima та Stonefly, працює під егідою групи Lazarus разом з іншими підлеглими елементами, такими як APT38 (він же BlueNoroff). Ця загроза також пов’язана з Lab 110, відомим підрозділом хакерів у Північній Кореї.

Діяльність Andariel охоплює низку операцій, включаючи шпигунство, націлене на іноземні урядові та військові організації, що становлять стратегічний інтерес. Крім того, група займається кіберзлочинністю, щоб отримати додатковий дохід для країни, яка перебуває під жорсткими санкціями.

В арсеналі Andariel є різноманітна кіберзброя, включно з сумнозвісною програмою-вимагачем Maui. Крім того, група використовує численні трояни та бекдори для віддаленого доступу, такі як Dtrack (також відомий як Valefor і Preft), NukeSped (він же Manuscrypt), MagicRAT і YamaBot .

NukeSped, зокрема, має широкий набір можливостей, які дозволяють створювати та завершувати процеси, а також маніпулювати файлами на скомпрометованому хості. Примітно, що використання NukeSped збігається з кампанією, відомою як TraderTraitor, яку відслідковує Агентство кібербезпеки та безпеки інфраструктури США (CISA).

Експлуатація Andariel уразливості Log4Shell на серверах VMware Horizon без виправлень була раніше задокументована Центром реагування на надзвичайні ситуації безпеки AhnLab (ASEC) і Cisco Talos у 2022 році, підкреслюючи постійні зусилля групи використовувати нові вразливості як зброю.

EarlyRat збирає інформацію та виконує нав’язливі команди на зламаних пристроях

Зловмисне програмне забезпечення EarlyRat поширюється через фішингові електронні листи, які містять оманливі документи Microsoft Word. Після відкриття цих файлів одержувачам пропонується ввімкнути макроси, що запускає виконання коду VBA, відповідального за завантаження загрози.

EarlyRat характеризується як простий, але обмежений бекдор, призначений для збору та передачі системної інформації на віддалений сервер. Крім того, він має можливість виконувати довільні команди. Примітно, що між EarlyRat і MagicRAT є помітна схожість, незважаючи на те, що вони написані з використанням різних фреймворків. EarlyRat використовує PureBasic, тоді як MagicRAT використовує Qt Framework.

У контексті атак з використанням уразливості Log4j Log4Shell, які спостерігалися минулого року, тепер з’явилася невідома раніше тактика. Було помічено, що зловмисники використовують законні стандартні інструменти, такі як 3Proxy , ForkDump, NTDSDumpEx, Powerline і PuTTY , для подальшого використання своїх цілей і скомпрометованих пристроїв. Такий підхід дозволяє їм використовувати існуючі інструменти для своїх зловмисних дій, підвищуючи витонченість і потенційний вплив атак.