Actor de amenazas de Corea del Norte despliega EarlyRat

Los investigadores han descubierto que el actor de amenazas conocido como Andariel, alineado con Corea del Norte, utilizó un malware previamente desconocido llamado EarlyRat en ataques que explotaron la vulnerabilidad Log4j Log4Shell el año pasado.

En estos ataques que utilizan EarlyRat, Andariel obtiene el control de los sistemas de las víctimas explotando Log4j, que a su vez descarga malware adicional del servidor de comando y control.

Andariel, también conocido como Silent Chollima y Stonefly, está vinculado al Laboratorio 110 de Corea del Norte, una unidad principal de piratería que alberga APT38 (también conocido como BlueNoroff) y otros elementos subordinados denominados colectivamente como el Grupo Lazarus.

Además de realizar espionaje contra gobiernos extranjeros y entidades militares de interés estratégico, este actor de amenazas se involucra en delitos cibernéticos para generar ingresos adicionales para la nación afectada por las sanciones.

Andariel Threat Actor posee un variado arsenal

Andariel posee varias armas cibernéticas, incluida una variedad de ransomware conocida como Maui, así como múltiples troyanos de acceso remoto y puertas traseras como Dtrack (también conocido como Valefor y Preft), NukeSped (también conocido como Manuscrypt), MagicRAT y YamaBot.

NukeSped viene equipado con funciones para crear y finalizar procesos, así como para manipular archivos en el host infectado. El uso de NukeSped se superpone con una campaña rastreada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) bajo el nombre TraderTraitor.

Anteriormente, AhnLab Security Emergency Response Center (ASEC) y Cisco Talos documentaron el uso de armas de la vulnerabilidad Log4Shell en servidores VMware Horizon sin parches por parte de Andariel en 2022.

La última cadena de ataque, descubierta por los investigadores, revela que EarlyRat se distribuye a través de correos electrónicos de phishing que contienen documentos de Microsoft Word como señuelos. Al abrir los archivos, se solicita a los destinatarios que habiliten las macros, lo que desencadena la ejecución del código VBA responsable de la descarga del troyano.

EarlyRat, descrito como una puerta trasera simple pero limitada, está diseñado para recopilar y transmitir información del sistema a un servidor remoto y ejecutar comandos arbitrarios. Presenta similitudes con MagicRAT y está escrito utilizando un marco llamado PureBasic. Por el contrario, MagicRAT utiliza Qt Framework.

Otro aspecto notable de la intrusión es el uso de herramientas legítimas comerciales como 3Proxy, ForkDump, NTDSDumpEx, Powerline y PuTTY para una mayor explotación del objetivo.