NineRAT Malware Targets Systems Uses Tactics of Lazarus Hacker Group
Cisco Talos afslørede for nylig en ny cyberkampagne orkestreret af Lazarus Group, kaldet "Operation Blacksmith". Denne operation beskæftiger tre nye DLang-baserede malware-familier, hvoraf to er identificeret som fjernadgangstrojanske heste (RAT'er). Navnlig bruger en af disse RAT'er Telegram-bots og -kanaler som et middel til kommando og kontrol (C2) kommunikation, hvilket tjener monikeren "NineRAT", mens den ikke-Telegram-baserede RAT er mærket "DLRAT". Derudover blev en DLang-baseret downloader kendt som "BottomLoader" identificeret i operationen.
Denne opdagelse markerer et væsentligt skift i den taktik, der anvendes af Lazarus Group, en nordkoreansk APT-gruppe (Advanced Persistent Threat). I løbet af de sidste 18 måneder har Cisco Talos afsløret tre forskellige RAT'er udviklet ved hjælp af ukonventionelle teknologier såsom QtFramework, PowerBasic og den seneste tilføjelse, DLang.
Især blev der observeret paralleller mellem Lazarus' Operation Blacksmith og taktikken, teknikkerne og procedurerne (TTP'er) forbundet med den nordkoreanske statssponsorerede gruppe Onyx Sleet, også anerkendt som Andariel APT-gruppen. Andariel betragtes bredt som en undergruppe under Lazarus-paraplyen, hvor denne kampagne demonstrerer opportunistisk målretning af globale virksomheder, der udsætter sårbar infrastruktur for n-dages sårbarhedsudnyttelse, herunder den velkendte CVE-2021-44228 (Log4j). Lazarus målrettede specifikt industrier som fremstilling, landbrug og fysisk sikkerhed.
Operation Blacksmith involverede udnyttelsen af Log4j og introducerede en hidtil ukendt DLang-baseret RAT, NineRAT, som brugte Telegram til C2-kommunikation. NineRAT blev oprindeligt bygget omkring maj 2022 og blev først ansat i kampagnen cirka et år senere, målrettet mod en sydamerikansk landbrugsorganisation i marts 2023 og en europæisk produktionsenhed i september 2023.
Analyser fra Cisco Talos afslørede overlap med ondsindede angreb afsløret af Microsoft i oktober 2023, tilskrevet Onyx Sleet. Dette stemmer overens med den bredere forståelse af, at Lazarus APT fungerer som en paraplyorganisation, der omfatter forskellige undergrupper, der hver forfølger forskellige mål relateret til Nordkoreas forsvar, politik, nationale sikkerhed og forskning og udvikling.
Computerbrugere, der er berørt af NineRAT-malwaren, bør tage skridt i brug af et anti-malware-værktøj for ikke kun at forhindre fremtidige angreb, men for fuldt ud at eliminere truslen.
