NineRAT Malware Targets Systems Uses Tactics of Lazarus Hacker Group
Cisco Talos avdekket nylig en ny cyberkampanje orkestrert av Lazarus Group, kalt "Operation Blacksmith". Denne operasjonen bruker tre nye Dlang-baserte malware-familier, med to identifisert som fjerntilgangstrojanere (RAT). Spesielt bruker en av disse RAT-ene Telegram-roboter og -kanaler som et middel for kommando og kontroll (C2) kommunikasjon, og tjener monikeren "NineRAT", mens den ikke-Telegram-baserte RAT er merket "DLRAT." I tillegg ble en DLang-basert nedlaster kjent som "BottomLoader" identifisert i operasjonen.
Denne oppdagelsen markerer et betydelig skifte i taktikken brukt av Lazarus Group, en nordkoreansk APT-gruppe (Advanced Persistent Threat). I løpet av de siste 18 månedene har Cisco Talos avslørt tre forskjellige RAT-er utviklet ved bruk av ukonvensjonelle teknologier som QtFramework, PowerBasic og det siste tillegget, DLang.
Spesielt ble det observert paralleller mellom Lazarus' Operation Blacksmith og taktikken, teknikkene og prosedyrene (TTP-er) knyttet til den nordkoreanske statsstøttede gruppen Onyx Sleet, også anerkjent som Andariel APT-gruppen. Andariel er ansett som en undergruppe under Lazarus-paraplyen, med denne kampanjen som demonstrerer opportunistisk målretting mot globale virksomheter som utsetter sårbar infrastruktur for n-dagers sårbarhetsutnyttelse, inkludert den velkjente CVE-2021-44228 (Log4j). Lazarus målrettet spesielt bransjer som produksjon, landbruk og fysisk sikkerhet.
Operasjon Blacksmith involverte utnyttelsen av Log4j og introduserte en tidligere ukjent DLang-basert RAT, NineRAT, som brukte Telegram for C2-kommunikasjon. NineRAT ble opprinnelig konstruert rundt mai 2022 og ble først ansatt i kampanjen omtrent et år senere, rettet mot en søramerikansk landbruksorganisasjon i mars 2023 og en europeisk produksjonsenhet i september 2023.
Analyser av Cisco Talos avslørte overlapping med ondsinnede angrep avslørt av Microsoft i oktober 2023, tilskrevet Onyx Sleet. Dette stemmer overens med den bredere forståelsen av at Lazarus APT opererer som en paraplyorganisasjon som omfatter ulike undergrupper, som hver forfølger forskjellige mål knyttet til Nord-Koreas forsvar, politikk, nasjonal sikkerhet og forskning og utvikling.
Databrukere som er berørt av NineRAT Malware bør iverksette tiltak ved bruk av et anti-malware-verktøy for ikke bare å forhindre fremtidige angrep, men for å eliminere trusselen fullstendig.
