A NineRAT Malware Targets Systems a Lazarus Hacker Group taktikáját használja

A Cisco Talos nemrégiben felfedte a Lazarus Group által szervezett új kiberkampányt, az „Operation Blacksmith” nevet. Ez a művelet három új, DLang-alapú rosszindulatú programcsaládot alkalmaz, amelyek közül kettőt távoli hozzáférésű trójaiként (RAT) azonosítottak. Nevezetesen, az egyik ilyen RAT a Telegram botokat és csatornákat használja a parancs- és vezérlési (C2) kommunikációs eszközként, ami a „NineRAT” becenevet kapja, míg a nem Telegram-alapú RAT „DLRAT” címkével rendelkezik. Ezenkívül a művelet során egy DLang-alapú letöltőt, „BottomLoader” néven azonosítottak.

Ez a felfedezés jelentős változást jelez az észak-koreai APT (Advanced Persistent Threat) csoport, a Lazarus Group által alkalmazott taktikában. Az elmúlt 18 hónap során a Cisco Talos három különböző RAT-ot hozott nyilvánosságra, amelyeket olyan szokatlan technológiákkal fejlesztettek ki, mint a QtFramework, a PowerBasic és a legújabb kiegészítés, a DLang.

Figyelemre méltó, hogy párhuzamot figyeltek meg a Lazarus's Blacksmith hadművelet és az észak-koreai állam által támogatott Onyx Sleet csoporthoz kapcsolódó taktika, technikák és eljárások (TTP) között, amelyet Andariel APT csoportként is ismernek. Az Andarielt széles körben a Lazarus ernyő alá tartozó alcsoportnak tekintik, és ez a kampány a globális vállalatok opportunista célzását mutatja be, amelyek a sebezhető infrastruktúrát n napos sebezhetőségi kizsákmányolásnak teszik ki, beleértve a jól ismert CVE-2021-44228-at (Log4j). A Lazarus kifejezetten az olyan iparágakat célozta meg, mint a gyártás, a mezőgazdaság és a fizikai biztonság.

A Blacksmith művelet a Log4j kihasználásával járt, és bevezetett egy korábban ismeretlen DLang-alapú RAT-ot, a NineRAT-ot, amely a Telegramot használta a C2 kommunikációhoz. A NineRAT-et eredetileg 2022 májusa körül építették, és körülbelül egy évvel később alkalmazták először a kampányban, egy dél-amerikai mezőgazdasági szervezetet célozva meg 2023 márciusában és egy európai gyártóegységet 2023 szeptemberében.

A Cisco Talos elemzései átfedést mutattak ki a Microsoft által 2023 októberében közzétett rosszindulatú támadásokkal, amelyek az Onyx Sleetnek tulajdoníthatók. Ez összhangban van azzal a tágabb értelemben vett felfogással, hogy a Lazarus APT ernyőszervezetként működik, amely különböző alcsoportokat foglal magában, amelyek mindegyike más-más célokat követ Észak-Korea védelmével, politikájával, nemzetbiztonságával, valamint kutatásával és fejlesztésével kapcsolatban.

A NineRAT Malware által érintett számítógép-felhasználóknak lépéseket kell tenniük a kártevőirtó eszköz használatával, hogy ne csak megakadályozzák a jövőbeli támadásokat, hanem teljes mértékben kiküszöböljék a fenyegetést.