北朝鮮の脅威アクターがEarlyRatを導入

研究者らは、北朝鮮と連携した Andariel として知られる攻撃者が、昨年 Log4j Log4Shell の脆弱性を悪用した攻撃で、EarlyRat という未知のマルウェアを利用したことを発見しました。

EarlyRat を使用するこれらの攻撃では、Andariel が Log4j を悪用して被害者のシステムを制御し、コマンド アンド コントロール サーバーから追加のマルウェアをダウンロードします。

Silent Chollima および Stonefly としても知られる Andariel は、APT38 (別名 BlueNoroff) および総称して Lazarus グループと呼ばれるその他の下位要素を収容する主要なハッキング部隊である北朝鮮の Lab 110 と関連しています。

この脅威アクターは、戦略的に重要な外国政府や軍事組織に対するスパイ活動を行うほかに、制裁の影響を受ける国に追加の収入をもたらすためにサイバー犯罪にも関与しています。

アンダリエル脅威アクターはさまざまな武器を所持

Andariel は、Maui として知られるランサムウェア株をはじめ、Dtrack (別名 Valefor および Preft)、NukeSped (別名 Manuscrypt)、MagicRAT、yamaBot などの複数のリモート アクセス トロイの木馬やバックドアを含む、さまざまなサイバー兵器を所有しています。

NukeSped には、感染したホスト上のファイルを操作するだけでなく、プロセスを作成および終了するための機能が装備されています。 NukeSped の使用は、米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) が TraderTraitor という名前で追跡しているキャンペーンと重なっています。

以前、パッチが適用されていない VMware Horizon サーバの Log4Shell 脆弱性が Andariel によって兵器化されたことが、2022 年に AhnLab Security Emergency Response Center (ASEC) と Cisco Talos によって文書化されました。

研究者によって明らかにされた最新の攻撃チェーンにより、EarlyRat はおとりとして Microsoft Word 文書を含むフィッシングメールを通じて配布されていることが明らかになりました。ファイルを開くと、受信者はマクロを有効にするよう求められ、トロイの木馬のダウンロードを引き起こす VBA コードの実行がトリガーされます。

EarlyRat は、シンプルだが限定されたバックドアとして説明されており、システム情報を収集してリモート サーバーに送信し、任意のコマンドを実行するように設計されています。これは MagicRAT と類似しており、PureBasic と呼ばれるフレームワークを使用して記述されています。対照的に、MagicRAT は Qt フレームワークを利用します。

侵入のもう 1 つの注目すべき側面は、ターゲットをさらに悪用するために 3Proxy、ForkDump、NTDSDumpEx、Powerline、PuTTY などの正規の既製ツールを使用していることです。