Το κακόβουλο λογισμικό NineRAT στοχεύει τα συστήματα χρησιμοποιεί τακτικές της Lazarus Hacker Group

Η Cisco Talos αποκάλυψε πρόσφατα μια νέα καμπάνια στον κυβερνοχώρο που ενορχηστρώθηκε από τον Όμιλο Lazarus, με το όνομα "Operation Blacksmith". Αυτή η λειτουργία χρησιμοποιεί τρεις νέες οικογένειες κακόβουλων προγραμμάτων που βασίζονται σε DLang, με δύο να αναγνωρίζονται ως trojans απομακρυσμένης πρόσβασης (RAT). Συγκεκριμένα, ένας από αυτούς τους RAT χρησιμοποιεί bots και κανάλια Telegram ως μέσο επικοινωνίας εντολών και ελέγχου (C2), κερδίζοντας το ψευδώνυμο "NineRAT", ενώ το RAT που δεν βασίζεται σε Telegram ονομάζεται "DLRAT". Επιπλέον, ένα πρόγραμμα λήψης που βασίζεται σε DLang γνωστό ως "BottomLoader" εντοπίστηκε κατά τη λειτουργία.

Αυτή η ανακάλυψη σηματοδοτεί μια σημαντική αλλαγή στις τακτικές που εφαρμόζει η ομάδα Lazarus, μια βορειοκορεατική ομάδα APT (Advanced Persistent Threat). Τους τελευταίους 18 μήνες, η Cisco Talos αποκάλυψε τρία ξεχωριστά RAT που αναπτύχθηκαν χρησιμοποιώντας μη συμβατικές τεχνολογίες όπως το QtFramework, το PowerBasic και την πιο πρόσφατη προσθήκη, το DLang.

Σημειωτέον, παρατηρήθηκαν παραλληλισμοί μεταξύ της Επιχείρησης Σιδηρουργός του Λάζαρου και των τακτικών, τεχνικών και διαδικασιών (TTP) που σχετίζονται με την ομάδα που χρηματοδοτείται από το κράτος της Βόρειας Κορέας Onyx Sleet, η οποία επίσης αναγνωρίζεται ως ομάδα Andariel APT. Η Andariel θεωρείται ευρέως μια υποομάδα κάτω από την ομπρέλα Lazarus, με αυτήν την καμπάνια να επιδεικνύει ευκαιριακή στόχευση παγκόσμιων επιχειρήσεων που εκθέτουν ευάλωτες υποδομές στην εκμετάλλευση ευπάθειας της ημέρας, συμπεριλαμβανομένου του γνωστού CVE-2021-44228 (Log4j). Ο Λάζαρος στόχευε συγκεκριμένα βιομηχανίες όπως η μεταποίηση, η γεωργία και η φυσική ασφάλεια.

Η Επιχείρηση Blacksmith περιλάμβανε την εκμετάλλευση του Log4j και εισήγαγε έναν προηγουμένως άγνωστο RAT βασισμένο σε DLang, το NineRAT, το οποίο χρησιμοποίησε το Telegram για επικοινωνία C2. Το NineRAT κατασκευάστηκε αρχικά γύρω στο Μάιο του 2022 και χρησιμοποιήθηκε για πρώτη φορά στην εκστρατεία περίπου ένα χρόνο αργότερα, στοχεύοντας έναν γεωργικό οργανισμό της Νότιας Αμερικής τον Μάρτιο του 2023 και έναν ευρωπαϊκό κατασκευαστικό φορέα τον Σεπτέμβριο του 2023.

Οι αναλύσεις της Cisco Talos αποκάλυψαν επικάλυψη με κακόβουλες επιθέσεις που αποκαλύφθηκαν από τη Microsoft τον Οκτώβριο του 2023, που αποδίδονται στο Onyx Sleet. Αυτό ευθυγραμμίζεται με την ευρύτερη αντίληψη ότι το Lazarus APT λειτουργεί ως ένας οργανισμός-ομπρέλα που περιλαμβάνει διάφορες υποομάδες, καθεμία από τις οποίες επιδιώκει διαφορετικούς στόχους που σχετίζονται με την άμυνα, την πολιτική, την εθνική ασφάλεια και την έρευνα και ανάπτυξη της Βόρειας Κορέας.

Οι χρήστες υπολογιστών που επηρεάζονται από το κακόβουλο λογισμικό NineRAT θα πρέπει να αναλάβουν δράση χρησιμοποιώντας ένα εργαλείο κατά του κακόβουλου λογισμικού, όχι μόνο για την πρόληψη μελλοντικών επιθέσεων αλλά και για την πλήρη εξάλειψη της απειλής.