L'attore di minacce nordcoreano schiera EarlyRat

I ricercatori hanno scoperto che l'attore di minacce noto come Andariel, allineato con la Corea del Nord, ha utilizzato un malware precedentemente sconosciuto chiamato EarlyRat negli attacchi che sfruttavano la vulnerabilità Log4j Log4Shell lo scorso anno.

In questi attacchi che utilizzano EarlyRat, Andariel ottiene il controllo sui sistemi delle vittime sfruttando Log4j, che a sua volta scarica malware aggiuntivo dal server di comando e controllo.

Andariel, noto anche come Silent Chollima e Stonefly, è collegato al Lab 110 della Corea del Nord, un'unità di hacking primaria che ospita APT38 (aka BlueNoroff) e altri elementi subordinati indicati collettivamente come Lazarus Group.

Oltre a condurre attività di spionaggio contro governi stranieri e entità militari di interesse strategico, questo attore di minacce è coinvolto nel crimine informatico per generare entrate aggiuntive per la nazione colpita dalle sanzioni.

L'attore di Andariel Threat possiede un arsenale vario

Andariel possiede varie armi informatiche, tra cui un ceppo ransomware noto come Maui, oltre a molteplici trojan di accesso remoto e backdoor come Dtrack (alias Valefor e Preft), NukeSped (alias Manuscrypt), MagicRAT e YamaBot.

NukeSped è dotato di funzionalità per creare e terminare processi, nonché per manipolare file sull'host infetto. L'uso di NukeSped si sovrappone a una campagna monitorata dalla US Cybersecurity and Infrastructure Security Agency (CISA) con il nome di TraderTraitor.

In precedenza, l'arma della vulnerabilità Log4Shell nei server VMware Horizon senza patch da parte di Andariel è stata documentata da AhnLab Security Emergency Response Center (ASEC) e Cisco Talos nel 2022.

L'ultima catena di attacco, scoperta dai ricercatori, rivela che EarlyRat viene distribuito tramite e-mail di phishing contenenti documenti Microsoft Word come esche. All'apertura dei file, ai destinatari viene richiesto di abilitare le macro, attivando l'esecuzione del codice VBA responsabile del download del trojan.

EarlyRat, descritto come una backdoor semplice ma limitata, è progettato per raccogliere e trasmettere informazioni di sistema a un server remoto ed eseguire comandi arbitrari. Presenta somiglianze con MagicRAT ed è scritto utilizzando un framework chiamato PureBasic. Al contrario, MagicRAT utilizza Qt Framework.

Un altro aspetto degno di nota dell'intrusione è l'uso di strumenti legittimi standard come 3Proxy, ForkDump, NTDSDumpEx, Powerline e PuTTY per un ulteriore sfruttamento del bersaglio.