Nordkoreansk trusselskuespiller indsætter EarlyRat

Forskere har opdaget, at trusselsaktøren kendt som Andariel, der er på linje med Nordkorea, brugte en hidtil ukendt malware ved navn EarlyRat i angreb, der udnyttede Log4j Log4Shell-sårbarheden sidste år.

I disse angreb, der bruger EarlyRat, opnår Andariel kontrol over offersystemer ved at udnytte Log4j, som igen downloader yderligere malware fra kommando-og-kontrol-serveren.

Andariel, også kendt som Silent Chollima og Stonefly, er knyttet til Nordkoreas Lab 110, en primær hacking-enhed, der huser APT38 (aka BlueNoroff) og andre underordnede elementer, der tilsammen kaldes Lazarus Group.

Ud over at udføre spionage mod udenlandske regeringer og militære enheder af strategisk interesse, er denne trusselaktør involveret i cyberkriminalitet for at generere yderligere indtægter til den nation, der er ramt af sanktioner.

Andariel Trusselskuespiller besidder varieret Arsenal

Andariel besidder forskellige cybervåben, herunder en ransomware-stamme kendt som Maui, samt flere fjernadgangstrojanske heste og bagdøre som Dtrack (alias Valefor og Preft), NukeSped (alias Manuscrypt), MagicRAT og YamaBot.

NukeSped er udstyret med funktioner til oprettelse og afslutning af processer, samt manipulation af filer på den inficerede vært. Brugen af NukeSped overlapper med en kampagne, der spores af US Cybersecurity and Infrastructure Security Agency (CISA) under navnet TraderTraitor.

Tidligere blev bevæbningen af Log4Shell-sårbarheden i upatchede VMware Horizon-servere af Andariel dokumenteret af AhnLab Security Emergency Response Center (ASEC) og Cisco Talos i 2022.

Den seneste angrebskæde, afsløret af forskere, afslører, at EarlyRat distribueres gennem phishing-e-mails, der indeholder Microsoft Word-dokumenter som lokkefugle. Når filerne åbnes, bliver modtagerne bedt om at aktivere makroer, hvilket udløser udførelsen af VBA-koden, der er ansvarlig for at downloade trojaneren.

EarlyRat, beskrevet som en simpel, men begrænset bagdør, er designet til at indsamle og overføre systeminformation til en fjernserver og udføre vilkårlige kommandoer. Det udviser ligheder med MagicRAT og er skrevet ved hjælp af en ramme kaldet PureBasic. I modsætning hertil bruger MagicRAT Qt Framework.

Et andet bemærkelsesværdigt aspekt af indtrængen er brugen af legitime hyldeværktøjer såsom 3Proxy, ForkDump, NTDSDumpEx, Powerline og PuTTY til yderligere udnyttelse af målet.