Βορειοκορεάτης ηθοποιός απειλών χρησιμοποιεί EarlyRat

Οι ερευνητές ανακάλυψαν ότι ο παράγοντας απειλών γνωστός ως Andariel, ευθυγραμμισμένος με τη Βόρεια Κορέα, χρησιμοποίησε ένα άγνωστο κακόβουλο λογισμικό που ονομαζόταν EarlyRat σε επιθέσεις που εκμεταλλεύονταν την ευπάθεια Log4j Log4Shell πέρυσι.

Σε αυτές τις επιθέσεις που χρησιμοποιούν το EarlyRat, ο Andariel αποκτά τον έλεγχο των συστημάτων θυμάτων εκμεταλλευόμενος το Log4j, το οποίο με τη σειρά του κατεβάζει επιπλέον κακόβουλο λογισμικό από τον διακομιστή εντολών και ελέγχου.

Ο Andariel, γνωστός και ως Silent Chollima και Stonefly, συνδέεται με το Lab 110 της Βόρειας Κορέας, μια κύρια μονάδα hacking που φιλοξενεί το APT38 (γνωστό και ως BlueNoroff) και άλλα δευτερεύοντα στοιχεία που συλλογικά αναφέρονται ως Lazarus Group.

Εκτός από τη διεξαγωγή κατασκοπείας κατά ξένων κυβερνήσεων και στρατιωτικών οντοτήτων στρατηγικού ενδιαφέροντος, αυτός ο παράγοντας απειλής εμπλέκεται στο έγκλημα στον κυβερνοχώρο για να δημιουργήσει πρόσθετο εισόδημα για το έθνος που πλήττεται από κυρώσεις.

Andariel Threat Actor κατέχει ποικίλη Arsenal

Ο Andariel διαθέτει διάφορα όπλα στον κυβερνοχώρο, συμπεριλαμβανομένου ενός τύπου ransomware γνωστό ως Maui, καθώς και πολλαπλών trojan και backdoors απομακρυσμένης πρόσβασης όπως το Dtrack (γνωστός και ως Valefor και Preft), NukeSped (γνωστός και ως Manuscrypt), MagicRAT και YamaBot.

Το NukeSped είναι εξοπλισμένο με δυνατότητες δημιουργίας και τερματισμού διαδικασιών, καθώς και χειρισμού αρχείων στον μολυσμένο κεντρικό υπολογιστή. Η χρήση του NukeSped επικαλύπτεται με μια καμπάνια που παρακολουθείται από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) με την ονομασία TraderTraitor.

Προηγουμένως, ο οπλισμός της ευπάθειας Log4Shell σε μη επιδιορθωμένους διακομιστές VMware Horizon από την Andariel τεκμηριώθηκε από το AhnLab Security Emergency Response Center (ASEC) και τη Cisco Talos το 2022.

Η τελευταία αλυσίδα επιθέσεων, που αποκαλύφθηκε από ερευνητές, αποκαλύπτει ότι το EarlyRat διανέμεται μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν έγγραφα του Microsoft Word ως δόλωμα. Με το άνοιγμα των αρχείων, ζητείται από τους παραλήπτες να ενεργοποιήσουν τις μακροεντολές, ενεργοποιώντας την εκτέλεση του κώδικα VBA που είναι υπεύθυνος για τη λήψη του trojan.

Το EarlyRat, που περιγράφεται ως ένα απλό αλλά περιορισμένο backdoor, έχει σχεδιαστεί για να συλλέγει και να μεταδίδει πληροφορίες συστήματος σε έναν απομακρυσμένο διακομιστή και να εκτελεί αυθαίρετες εντολές. Παρουσιάζει ομοιότητες με το MagicRAT και είναι γραμμένο χρησιμοποιώντας ένα πλαίσιο που ονομάζεται PureBasic. Αντίθετα, το MagicRAT χρησιμοποιεί το Qt Framework.

Μια άλλη αξιοσημείωτη πτυχή της εισβολής είναι η χρήση νόμιμων εργαλείων εκτός ραφιού, όπως τα 3Proxy, ForkDump, NTDSDumpEx, Powerline και PuTTY για περαιτέρω εκμετάλλευση του στόχου.