Nordkoreansk trusselskuespiller bruker EarlyRat

Forskere har oppdaget at trusselaktøren kjent som Andariel, på linje med Nord-Korea, brukte en tidligere ukjent skadelig programvare kalt EarlyRat i angrep som utnyttet Log4j Log4Shell-sårbarheten i fjor.

I disse angrepene som bruker EarlyRat, får Andariel kontroll over offersystemer ved å utnytte Log4j, som igjen laster ned ytterligere skadelig programvare fra kommando-og-kontroll-serveren.

Andariel, også kjent som Silent Chollima og Stonefly, er knyttet til Nord-Koreas Lab 110, en primær hackingenhet som huser APT38 (aka BlueNoroff) og andre underordnede elementer som samlet refereres til som Lazarus Group.

Bortsett fra å drive spionasje mot utenlandske myndigheter og militære enheter av strategisk interesse, er denne trusselaktøren involvert i nettkriminalitet for å generere ytterligere inntekter til nasjonen som er rammet av sanksjoner.

Andariel Trusselskuespiller besitter variert Arsenal

Andariel besitter forskjellige cybervåpen, inkludert en løsepengevarestamme kjent som Maui, samt flere fjerntilgangstrojanere og bakdører som Dtrack (aka Valefor og Preft), NukeSped (aka Manuscrypt), MagicRAT og YamaBot.

NukeSped er utstyrt med funksjoner for å lage og avslutte prosesser, samt manipulere filer på den infiserte verten. Bruken av NukeSped overlapper med en kampanje sporet av US Cybersecurity and Infrastructure Security Agency (CISA) under navnet TraderTraitor.

Tidligere ble bevæpningen av Log4Shell-sårbarheten i upatchede VMware Horizon-servere av Andariel dokumentert av AhnLab Security Emergency Response Center (ASEC) og Cisco Talos i 2022.

Den siste angrepskjeden, avdekket av forskere, avslører at EarlyRat distribueres gjennom phishing-e-poster som inneholder Microsoft Word-dokumenter som lokkefugler. Når filene åpnes, blir mottakerne bedt om å aktivere makroer, noe som utløser kjøring av VBA-kode som er ansvarlig for nedlasting av trojaneren.

EarlyRat, beskrevet som en enkel, men begrenset bakdør, er designet for å samle og overføre systeminformasjon til en ekstern server og utføre vilkårlige kommandoer. Den viser likheter med MagicRAT og er skrevet ved hjelp av et rammeverk kalt PureBasic. Derimot bruker MagicRAT Qt Framework.

Et annet bemerkelsesverdig aspekt ved inntrengingen er bruken av legitime hyllevareverktøy som 3Proxy, ForkDump, NTDSDumpEx, Powerline og PuTTY for videre utnyttelse av målet.