Nordkoreanischer Bedrohungsakteur setzt EarlyRat ein

Forscher haben herausgefunden, dass der mit Nordkorea verbündete Bedrohungsakteur Andariel im vergangenen Jahr eine bisher unbekannte Malware namens EarlyRat bei Angriffen nutzte, die die Log4j-Log4Shell-Schwachstelle ausnutzten.

Bei diesen Angriffen, die EarlyRat verwenden, erlangt Andariel die Kontrolle über die Systeme der Opfer, indem er Log4j ausnutzt, das wiederum zusätzliche Malware vom Command-and-Control-Server herunterlädt.

Andariel, auch bekannt als Silent Chollima und Stonefly, ist mit Nordkoreas Lab 110 verbunden, einer primären Hacking-Einheit, die APT38 (auch bekannt als BlueNoroff) und andere untergeordnete Elemente beherbergt, die zusammen als Lazarus-Gruppe bezeichnet werden.

Neben der Spionagetätigkeit gegen ausländische Regierungen und militärische Einheiten von strategischem Interesse engagiert sich dieser Bedrohungsakteur auch in der Cyberkriminalität, um dem von den Sanktionen betroffenen Land zusätzliche Einnahmen zu verschaffen.

Andariel Threat Actor verfügt über ein vielfältiges Arsenal

Andariel verfügt über verschiedene Cyberwaffen, darunter eine Ransomware-Variante namens Maui, sowie über mehrere Remote-Access-Trojaner und Hintertüren wie Dtrack (alias Valefor und Preft), NukeSped (alias Manuscrypt), MagicRAT und YamaBot.

NukeSped ist mit Funktionen zum Erstellen und Beenden von Prozessen sowie zum Bearbeiten von Dateien auf dem infizierten Host ausgestattet. Der Einsatz von NukeSped überschneidet sich mit einer Kampagne, die von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) unter dem Namen TraderTraitor verfolgt wird.

Zuvor wurde die Nutzung der Log4Shell-Schwachstelle in ungepatchten VMware Horizon-Servern durch Andariel im Jahr 2022 vom AhnLab Security Emergency Response Center (ASEC) und Cisco Talos dokumentiert.

Die neueste von Forschern aufgedeckte Angriffskette zeigt, dass EarlyRat über Phishing-E-Mails verbreitet wird, die Microsoft Word-Dokumente als Lockmittel enthalten. Beim Öffnen der Dateien werden die Empfänger aufgefordert, Makros zu aktivieren, wodurch die Ausführung des VBA-Codes ausgelöst wird, der für das Herunterladen des Trojaners verantwortlich ist.

EarlyRat wird als einfache, aber begrenzte Hintertür beschrieben und ist darauf ausgelegt, Systeminformationen zu sammeln und an einen Remote-Server zu übertragen und beliebige Befehle auszuführen. Es weist Ähnlichkeiten mit MagicRAT auf und ist mit einem Framework namens PureBasic geschrieben. Im Gegensatz dazu nutzt MagicRAT das Qt Framework.

Ein weiterer bemerkenswerter Aspekt des Eindringens ist die Verwendung legitimer Standardtools wie 3Proxy, ForkDump, NTDSDumpEx, Powerline und PuTTY zur weiteren Ausnutzung des Ziels.