Šiaurės Korėjos grėsmių aktorius dislokuoja EarlyRat

Tyrėjai išsiaiškino, kad grėsmių veikėjas, žinomas kaip Andariel, suderintas su Šiaurės Korėja, praėjusiais metais naudojo anksčiau nežinomą kenkėjišką programą, pavadintą EarlyRat, vykdydamas atakas, išnaudodamas Log4j Log4Shell pažeidžiamumą.

Per šias atakas, kuriose naudojamas EarlyRat, Andariel įgyja aukų sistemų kontrolę išnaudodama Log4j, kuri savo ruožtu atsisiunčia papildomos kenkėjiškos programos iš komandų ir valdymo serverio.

„Andariel“, taip pat žinomas kaip „Silent Chollima“ ir „Stonefly“, yra susijęs su Šiaurės Korėjos „Lab 110“ – pagrindiniu įsilaužimo padaliniu, kuriame yra APT38 (dar žinomas kaip „BlueNoroff“) ir kiti pavaldyti elementai, bendrai vadinami „Lazarus Group“.

Šis grėsmės veikėjas ne tik vykdo šnipinėjimą prieš užsienio vyriausybes ir strateginės svarbos karinius subjektus, bet ir užsiima kibernetiniais nusikaltimais, siekdamas gauti papildomų pajamų nuo sankcijų nukentėjusiai šaliai.

„Andariel Threat“ aktorius turi įvairų arsenalą

Andariel turi įvairių kibernetinių ginklų, įskaitant išpirkos reikalaujančią programinę įrangą, žinomą kaip Maui, taip pat daugybę nuotolinės prieigos Trojos arklių ir užpakalinių durų, tokių kaip Dtrack (dar žinomas kaip Valefor ir Preft), NukeSped (dar žinomas kaip Manuscrypt), MagicRAT ir YamaBot.

„NukeSped“ aprūpintas procesų kūrimo ir užbaigimo, taip pat užkrėsto pagrindinio kompiuterio failų manipuliavimo funkcijomis. „NukeSped“ naudojimas sutampa su kampanija, kurią seka JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) pavadinimu „TraderTraitor“.

Anksčiau 2022 m. „AhnLab Security Emergency Response Center“ (ASEC) ir „Cisco Talos“ dokumentavo, kad „Andariel“ pažeidžia „Log4Shell“ pažeidžiamumą nepataisytuose „VMware Horizon“ serveriuose.

Naujausia atakų grandinė, kurią atskleidė tyrėjai, atskleidžia, kad „EarlyRat“ platinamas per sukčiavimo el. laiškus, kuriuose yra „Microsoft Word“ dokumentai kaip masalas. Atidarius failus, gavėjai raginami įjungti makrokomandas, kurios suaktyvina VBA kodo, atsakingo už Trojos arklys atsisiuntimą, vykdymą.

EarlyRat, apibūdinamas kaip paprastas, bet ribotas užpakalinės durys, skirtas rinkti ir perduoti sistemos informaciją į nuotolinį serverį ir vykdyti savavališkas komandas. Jis panašus į MagicRAT ir yra parašytas naudojant „PureBasic“ sistemą. Priešingai, MagicRAT naudoja Qt Framework.

Kitas svarbus įsibrovimo aspektas yra teisėtų paruoštų įrankių, tokių kaip 3Proxy, ForkDump, NTDSDumpEx, Powerline ir PuTTY, naudojimas tolesniam taikinio išnaudojimui.