Az észak-koreai fenyegetőző színész beveti az EarlyRat-et

A kutatók felfedezték, hogy az Andariel néven ismert, Észak-Koreához kötődő fenyegetettség szereplője egy korábban ismeretlen, EarlyRat nevű kártevőt használt a Log4j Log4Shell sebezhetőségét kihasználó támadások során tavaly.

Ezekben az EarlyRat-ot használó támadásokban az Andariel a Log4j kihasználásával átveszi az irányítást az áldozatrendszerek felett, amely viszont további rosszindulatú programokat tölt le a parancs- és vezérlőkiszolgálóról.

Az Andariel, más néven Silent Chollima és Stonefly, kapcsolódik az észak-koreai Lab 110-hez, egy elsődleges hackeregységhez, amely az APT38-nak (más néven BlueNoroffnak) és más alárendelt elemeknek ad otthont, amelyeket együttesen Lazarus csoportnak neveznek.

A külföldi kormányok és stratégiai érdekű katonai szervezetek elleni kémkedésen túl ez a fenyegető szereplő kiberbűnözésben is részt vesz, hogy további bevételt termeljen a szankciók által érintett nemzet számára.

Andariel Threat Actor Változatos Arzenálja van

Andariel különféle kiberfegyverekkel rendelkezik, beleértve a Maui néven ismert ransomware törzset, valamint több távoli hozzáférésű trójaiat és hátsó ajtót, mint a Dtrack (más néven Valefor és Preft), NukeSped (más néven Manuscrypt), MagicRAT és YamaBot.

A NukeSped a folyamatok létrehozására és leállítására, valamint a fertőzött gazdagépen lévő fájlok kezelésére szolgáló funkciókkal rendelkezik. A NukeSped használata átfedésben van az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége (CISA) által TraderTraitor néven nyomon követett kampánnyal.

Korábban az AhnLab Security Emergency Response Center (ASEC) és a Cisco Talos dokumentálta, hogy az Andariel felfegyverezte a Log4Shell sebezhetőségét a javítatlan VMware Horizon szervereken 2022-ben.

A kutatók által feltárt legújabb támadási láncból kiderül, hogy az EarlyRat adathalász e-maileken keresztül terjed, amelyek csaliként Microsoft Word dokumentumokat tartalmaznak. A fájlok megnyitásakor a címzett felkéri a makrók engedélyezésére, ami elindítja a trójai letöltéséért felelős VBA-kód végrehajtását.

Az EarlyRat, amelyet egyszerű, de korlátozott hátsó ajtóként írnak le, arra készült, hogy rendszerinformációkat gyűjtsön össze és továbbítson egy távoli szerverre, és tetszőleges parancsokat hajtson végre. Hasonlóságot mutat a MagicRAT-tal, és a PureBasic nevű keretrendszerrel íródott. Ezzel szemben a MagicRAT a Qt keretrendszert használja.

A behatolás másik figyelemreméltó aspektusa a legális kész eszközök, például a 3Proxy, a ForkDump, az NTDSDumpEx, a Powerline és a PuTTY használata a célpont további kiaknázására.