Phần mềm độc hại EarlyRat
Các nhà nghiên cứu an ninh mạng đã nhận thấy rằng tác nhân đe dọa Andariel, có liên quan đến Triều Tiên, đã mở rộng kho vũ khí của mình bằng cách sử dụng một phần mềm độc hại mới được phát hiện có tên là EarlyRat. Công cụ độc hại chưa biết trước đây đã được các tác nhân đe dọa triển khai trong các chiến dịch lừa đảo. Sự bổ sung này giúp tăng cường thêm nhiều loại công cụ và chiến thuật của Andariel.
Để lây nhiễm các máy được nhắm mục tiêu, tội phạm mạng Andariel lợi dụng khai thác Log4j, tận dụng các lỗ hổng trong thư viện ghi nhật ký Log4j. Thông qua khai thác này, tác nhân đe dọa có quyền truy cập vào hệ thống bị xâm nhập và tiến hành tải xuống phần mềm độc hại bổ sung từ máy chủ Command-and-Control (C2) của hoạt động tấn công.
Andariel được kết nối với các nhóm tin tặc Bắc Triều Tiên khác
Andariel, còn được biết đến với bí danh Silent Chollima và Stonefly, hoạt động dưới sự bảo trợ của Tập đoàn Lazarus cùng với các phần tử cấp dưới khác như APT38 (hay còn gọi là BlueNoroff). Tác nhân đe dọa này cũng được liên kết với Lab 110, một đơn vị hack nổi tiếng có trụ sở tại Bắc Triều Tiên.
Các hoạt động của Andariel bao gồm một loạt các hoạt động, bao gồm hoạt động gián điệp nhắm vào các tổ chức quân sự và chính phủ nước ngoài có lợi ích chiến lược. Ngoài ra, nhóm tham gia vào các hoạt động tội phạm mạng để tạo thêm thu nhập cho quốc gia đang bị trừng phạt nặng nề.
Kho vũ khí của Andariel bao gồm nhiều loại vũ khí mạng khác nhau, bao gồm cả Maui Ransomware khét tiếng. Ngoài ra, nhóm sử dụng nhiều Trojan và cửa hậu truy cập từ xa, chẳng hạn như Dtrack (còn được gọi là Valefor và Preft), NukeSped (còn gọi là Manuscrypt), MagicRAT và YamaBot .
Đặc biệt, NukeSped sở hữu một loạt các khả năng cho phép nó tạo và chấm dứt các quy trình, cũng như thao tác với các tệp trên máy chủ bị xâm nhập. Đáng chú ý, việc sử dụng NukeSped trùng lặp với một chiến dịch có tên là TraderTraitor, đã được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) theo dõi.
Việc Andariel khai thác lỗ hổng Log4Shell trong các máy chủ VMware Horizon chưa được vá trước đây đã được Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) và Cisco Talos ghi lại vào năm 2022, nêu bật những nỗ lực không ngừng của nhóm nhằm vũ khí hóa các lỗ hổng mới nổi.
EarlyRat thu thập thông tin và thực thi các lệnh xâm nhập trên các thiết bị bị vi phạm
Phần mềm độc hại EarlyRat lây lan qua các email lừa đảo có chứa các tài liệu Microsoft Word lừa đảo. Khi mở các tệp này, người nhận được nhắc bật macro, kích hoạt việc thực thi mã VBA chịu trách nhiệm tải xuống mối đe dọa.
EarlyRat có đặc điểm là một cửa hậu đơn giản nhưng hạn chế, được thiết kế để thu thập và truyền thông tin hệ thống đến một máy chủ từ xa. Ngoài ra, nó có khả năng thực thi các lệnh tùy ý. Đáng chú ý, có những điểm tương đồng đáng chú ý giữa EarlyRat và MagicRAT, mặc dù được viết bằng các khung khác nhau. EarlyRat sử dụng PureBasic, trong khi MagicRAT sử dụng Qt Framework.
Trong bối cảnh các cuộc tấn công khai thác lỗ hổng Log4j Log4Shell được quan sát thấy trong năm trước, một chiến thuật chưa từng thấy trước đây hiện đã xuất hiện. Người ta đã quan sát thấy những kẻ tấn công sử dụng các công cụ hợp pháp có sẵn, chẳng hạn như 3Proxy , ForkDump, NTDSDumpEx, Powerline và PuTTY , để khai thác thêm các mục tiêu và thiết bị bị xâm nhập của chúng. Cách tiếp cận này cho phép chúng tận dụng các công cụ hiện có cho các hoạt động độc hại của chúng, làm tăng mức độ tinh vi và tác động tiềm ẩn của các cuộc tấn công.
