EarlyRat 恶意软件

网络安全研究人员注意到，与朝鲜有关的威胁发起者 Andariel 通过利用新发现的名为 EarlyRat 的恶意软件扩大了其武器库。威胁行为者在网络钓鱼活动中部署了以前未知的恶意工具。这一补充进一步增强了 Andariel 广泛的工具和策略。

为了感染目标计算机，Andariel 网络犯罪分子利用 Log4j 漏洞利用 Log4j 日志记录库中的漏洞。通过此漏洞，威胁参与者可以访问受感染的系统，并继续从攻击操作的命令与控制 (C2) 服务器下载其他恶意软件。

Andariel 与其他朝鲜黑客组织有联系

Andariel 也被称为 Silent Chollima 和 Stonefly，在Lazarus Group的保护下与 APT38（又名 BlueNoroff）等其他下属组织一起运营。该威胁行为者还与位于朝鲜的著名黑客组织 Lab 110 有关联。

安达利尔的活动涵盖一系列行动，包括针对具有战略利益的外国政府和军事实体的间谍活动。此外，该组织还从事网络犯罪活动，为受到严厉制裁的国家创造补充收入。

Andariel的武器库包含各种网络武器，包括臭名昭著的毛伊岛勒索软件。此外，该组织还利用大量远程访问木马和后门，例如Dtrack （也称为 Valefor 和 Preft）、 NukeSped （又名 Manuscrypt）、 MagicRAT和YamaBot 。

特别是，NukeSped 拥有广泛的功能，使其能够创建和终止进程，以及操作受感染主机上的文件。值得注意的是，NukeSped 的使用与美国网络安全和基础设施安全局 (CISA) 跟踪的 TraderTraitor 活动重叠。

AhnLab 安全紧急响应中心 (ASEC) 和 Cisco Talos 曾于 2022 年记录了 Andariel 在未修补的 VMware Horizon 服务器中利用 Log4Shell 漏洞的情况，突显了该组织正在努力将新兴漏洞武器化。

EarlyRat 收集信息并在被入侵的设备上执行侵入命令

EarlyRat 恶意软件通过包含欺骗性 Microsoft Word 文档的网络钓鱼电子邮件进行传播。打开这些文件后，系统会提示收件人启用宏，从而触发负责下载威胁的 VBA 代码的执行。

EarlyRat 的特点是一个简单但有限的后门，旨在收集系统信息并将其传输到远程服务器。此外，它还具有执行任意命令的能力。值得注意的是，尽管 EarlyRat 和 MagicRAT 是使用不同的框架编写的，但它们之间还是有显着的相似之处。 EarlyRat 使用 PureBasic，而 MagicRAT 使用 Qt 框架。

在去年观察到的利用 Log4j Log4Shell 漏洞进行攻击的背景下，现在出现了一种以前未曾见过的策略。据观察，攻击者利用合法的现成工具（例如3Proxy 、ForkDump、NTDSDumpEx、Powerline 和PuTTY ）来进一步利用其目标和受感染的设备。这种方法使他们能够利用现有工具进行恶意活动，从而增加攻击的复杂性和潜在影响。