EarlyRat 惡意軟件

網絡安全研究人員注意到，與朝鮮有關的威脅發起者 Andariel 通過利用新發現的名為 EarlyRat 的惡意軟件擴大了其武器庫。威脅行為者在網絡釣魚活動中部署了以前未知的惡意工具。這一補充進一步增強了 Andariel 廣泛的工具和策略。

為了感染目標計算機，Andariel 網絡犯罪分子利用 Log4j 漏洞利用 Log4j 日誌記錄庫中的漏洞。通過此漏洞，威脅參與者可以訪問受感染的系統，並繼續從攻擊操作的命令與控制 (C2) 服務器下載其他惡意軟件。

Andariel 與其他朝鮮黑客組織有聯繫

Andariel 也被稱為 Silent Chollima 和 Stonefly，在Lazarus Group的保護下與 APT38（又名 BlueNoroff）等其他下屬組織一起運營。該威脅行為者還與位於朝鮮的著名黑客組織 Lab 110 有關聯。

安達利爾的活動涵蓋一系列行動，包括針對具有戰略利益的外國政府和軍事實體的間諜活動。此外，該組織還從事網絡犯罪活動，為受到嚴厲制裁的國家創造補充收入。

Andariel的武器庫包含各種網絡武器，包括臭名昭著的毛伊島勒索軟件。此外，該組織還利用大量遠程訪問木馬和後門，例如Dtrack （也稱為 Valefor 和 Preft）、 NukeSped （又名 Manuscrypt）、 MagicRAT和YamaBot 。

特別是，NukeSped 擁有廣泛的功能，使其能夠創建和終止進程，以及操作受感染主機上的文件。值得注意的是，NukeSped 的使用與美國網絡安全和基礎設施安全局 (CISA) 跟踪的 TraderTraitor 活動重疊。

AhnLab 安全緊急響應中心 (ASEC) 和 Cisco Talos 曾於 2022 年記錄了 Andariel 在未修補的 VMware Horizon 服務器中利用 Log4Shell 漏洞的情況，突顯了該組織正在努力將新興漏洞武器化。

EarlyRat 收集信息並在被入侵的設備上執行侵入命令

EarlyRat 惡意軟件通過包含欺騙性 Microsoft Word 文檔的網絡釣魚電子郵件進行傳播。打開這些文件後，系統會提示收件人啟用宏，從而觸發負責下載威脅的 VBA 代碼的執行。

EarlyRat 的特點是一個簡單但有限的後門，旨在收集系統信息並將其傳輸到遠程服務器。此外，它還具有執行任意命令的能力。值得注意的是，儘管 EarlyRat 和 MagicRAT 是使用不同的框架編寫的，但它們之間還是有顯著的相似之處。 EarlyRat 使用 PureBasic，而 MagicRAT 使用 Qt 框架。

在去年觀察到的利用 Log4j Log4Shell 漏洞進行攻擊的背景下，現在出現了一種以前未曾見過的策略。據觀察，攻擊者利用合法的現成工具（例如3Proxy 、ForkDump、NTDSDumpEx、Powerline 和PuTTY ）來進一步利用其目標和受感染的設備。這種方法使他們能夠利用現有工具進行惡意活動，從而增加攻擊的複雜性和潛在影響。