„NineRAT Malware Targets Systems“ naudoja „Lazarus Hacker Group“ taktiką

„Cisco Talos“ neseniai atskleidė naują „Lazarus Group“ surengtą kibernetinę kampaniją, pavadintą „Operacija kalvis“. Šioje operacijoje naudojamos trys naujos DLang pagrindu sukurtų kenkėjiškų programų šeimos, iš kurių dvi identifikuojamos kaip nuotolinės prieigos Trojos arkliai (RAT). Pažymėtina, kad vienas iš šių RAT naudoja „Telegram“ robotus ir kanalus kaip komandų ir valdymo (C2) komunikacijos priemonę, pelnydamas pravardę „NineRAT“, o ne telegrama pagrįstas RAT yra pažymėtas „DLRAT“. Be to, operacijos metu buvo nustatytas DLang pagrindu sukurtas atsisiuntimo įrankis, žinomas kaip „BottomLoader“.

Šis atradimas žymi reikšmingą Šiaurės Korėjos APT (Advanced Persistent Threat) grupės „Lazarus Group“ taktikos pokytį. Per pastaruosius 18 mėnesių „Cisco Talos“ atskleidė tris skirtingus RAT, sukurtus naudojant netradicines technologijas, tokias kaip „QtFramework“, „PowerBasic“ ir naujausią priedą „DLang“.

Pažymėtina, kad buvo pastebėtos paralelės tarp Lozoriaus operacijos kalvis ir taktikos, technikos ir procedūrų (TTP), susijusių su Šiaurės Korėjos valstybės remiama grupe Onyx Sleet, taip pat pripažinta Andariel APT grupe. „Andariel“ yra plačiai laikomas pogrupiu, priklausančiu „Lazarus“ skėčiui. Ši kampanija demonstruoja oportunistinį taikymą į pasaulines įmones, kurios pažeidžiamą infrastruktūrą pažeidžia n-dienos pažeidžiamumo išnaudojimą, įskaitant gerai žinomą CVE-2021-44228 (Log4j). „Lazarus“ konkrečiai nukreipė į tokias pramonės šakas kaip gamyba, žemės ūkis ir fizinis saugumas.

Operacija Blacksmith apėmė Log4j išnaudojimą ir pristatė anksčiau nežinomą DLang pagrindu sukurtą RAT NineRAT, kuris naudojo Telegram C2 ryšiui. „NineRAT“ iš pradžių buvo pastatytas apie 2022 m. gegužę ir pirmą kartą buvo įtrauktas į kampaniją maždaug po metų, nukreiptas į Pietų Amerikos žemės ūkio organizaciją 2023 m. kovą ir į Europos gamybos įmonę 2023 m. rugsėjį.

„Cisco Talos“ analizė atskleidė sutapimą su kenkėjiškomis atakomis, kurias „Microsoft“ atskleidė 2023 m. spalį ir kurios priskiriamos Onyx Sleet. Tai atitinka platesnį supratimą, kad Lazarus APT veikia kaip skėtinė organizacija, apimanti įvairius pogrupius, kurių kiekvienas siekia skirtingų tikslų, susijusių su Šiaurės Korėjos gynyba, politika, nacionaliniu saugumu, moksliniais tyrimais ir plėtra.

Kompiuterių vartotojai, paveikti „NineRAT“ kenkėjiškų programų, turėtų imtis veiksmų naudodami kovos su kenkėjiška programa įrankį, kad ne tik išvengtų būsimų atakų, bet ir visiškai pašalintų grėsmę.