Un acteur de la menace nord-coréen déploie EarlyRat

Les chercheurs ont découvert que l'acteur de la menace connu sous le nom d'Andariel, aligné avec la Corée du Nord, a utilisé un malware auparavant inconnu nommé EarlyRat dans des attaques exploitant la vulnérabilité Log4j Log4Shell l'année dernière.

Dans ces attaques qui utilisent EarlyRat, Andariel prend le contrôle des systèmes victimes en exploitant Log4j, qui à son tour télécharge des logiciels malveillants supplémentaires à partir du serveur de commande et de contrôle.

Andariel, également connu sous le nom de Silent Chollima et Stonefly, est lié au Lab 110 de Corée du Nord, une unité de piratage principale qui abrite APT38 (alias BlueNoroff) et d'autres éléments subordonnés collectivement appelés le groupe Lazarus.

En plus de mener de l'espionnage contre des gouvernements étrangers et des entités militaires d'intérêt stratégique, cet acteur menaçant est impliqué dans la cybercriminalité pour générer des revenus supplémentaires pour la nation touchée par les sanctions.

L'acteur d'Andariel Threat possède un arsenal varié

Andariel possède diverses cyber-armes, y compris une souche de ransomware connue sous le nom de Maui, ainsi que plusieurs chevaux de Troie d'accès à distance et des portes dérobées comme Dtrack (alias Valefor et Preft), NukeSped (alias Manuscrypt), MagicRAT et YamaBot.

NukeSped est équipé de fonctionnalités permettant de créer et de terminer des processus, ainsi que de manipuler des fichiers sur l'hôte infecté. L'utilisation de NukeSped chevauche une campagne suivie par la US Cybersecurity and Infrastructure Security Agency (CISA) sous le nom de TraderTraitor.

Auparavant, la militarisation de la vulnérabilité Log4Shell dans les serveurs VMware Horizon non corrigés par Andariel a été documentée par AhnLab Security Emergency Response Center (ASEC) et Cisco Talos en 2022.

La dernière chaîne d'attaque, découverte par des chercheurs, révèle qu'EarlyRat est distribué via des e-mails de phishing contenant des documents Microsoft Word comme leurres. Lors de l'ouverture des fichiers, les destinataires sont invités à activer les macros, déclenchant l'exécution du code VBA responsable du téléchargement du cheval de Troie.

EarlyRat, décrit comme une porte dérobée simple mais limitée, est conçu pour collecter et transmettre des informations système à un serveur distant et exécuter des commandes arbitraires. Il présente des similitudes avec MagicRAT et est écrit à l'aide d'un framework appelé PureBasic. En revanche, MagicRAT utilise le Qt Framework.

Un autre aspect notable de l'intrusion est l'utilisation d'outils prêts à l'emploi légitimes tels que 3Proxy, ForkDump, NTDSDumpEx, Powerline et PuTTY pour une exploitation plus poussée de la cible.