Noord-Koreaanse bedreigingsactor implementeert EarlyRat

Onderzoekers hebben ontdekt dat de dreigingsactor die bekend staat als Andariel, in lijn is met Noord-Korea, vorig jaar een voorheen onbekende malware genaamd EarlyRat gebruikte bij aanvallen die misbruik maakten van de Log4j Log4Shell-kwetsbaarheid.

Bij deze aanvallen waarbij EarlyRat wordt gebruikt, krijgt Andariel controle over slachtoffersystemen door Log4j te misbruiken, dat op zijn beurt extra malware downloadt van de command-and-control-server.

Andariel, ook bekend als Silent Chollima en Stonefly, is gekoppeld aan Lab 110 in Noord-Korea, een primaire hackeenheid die APT38 (ook bekend als BlueNoroff) en andere ondergeschikte elementen herbergt die gezamenlijk de Lazarus Group worden genoemd.

Naast het uitvoeren van spionage tegen buitenlandse regeringen en militaire entiteiten van strategisch belang, is deze bedreigingsactor betrokken bij cybercriminaliteit om extra inkomsten te genereren voor het land dat door sancties is getroffen.

Andariel Threat-acteur bezit een gevarieerd arsenaal

Andariel bezit verschillende cyberwapens, waaronder een ransomware-soort die bekend staat als Maui, evenals meerdere trojans voor externe toegang en backdoors zoals Dtrack (ook bekend als Valefor en Preft), NukeSped (ook bekend als Manuscrypt), MagicRAT en YamaBot.

NukeSped is uitgerust met functies voor het maken en beëindigen van processen, evenals het manipuleren van bestanden op de geïnfecteerde host. Het gebruik van NukeSped overlapt met een campagne die wordt bijgehouden door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) onder de naam TraderTraitor.

Eerder werd de bewapening van de Log4Shell-kwetsbaarheid in niet-gepatchte VMware Horizon-servers door Andariel gedocumenteerd door AhnLab Security Emergency Response Center (ASEC) en Cisco Talos in 2022.

De nieuwste aanvalsketen, ontdekt door onderzoekers, onthult dat EarlyRat wordt verspreid via phishing-e-mails met Microsoft Word-documenten als lokaas. Bij het openen van de bestanden wordt de ontvangers gevraagd om macro's in te schakelen, waardoor de VBA-code wordt uitgevoerd die verantwoordelijk is voor het downloaden van de trojan.

EarlyRat, beschreven als een eenvoudige maar beperkte achterdeur, is ontworpen om systeeminformatie te verzamelen en naar een externe server te verzenden en willekeurige opdrachten uit te voeren. Het vertoont overeenkomsten met MagicRAT en is geschreven met behulp van een raamwerk genaamd PureBasic. MagicRAT daarentegen maakt gebruik van het Qt Framework.

Een ander opmerkelijk aspect van de inbraak is het gebruik van legitieme kant-en-klare tools zoals 3Proxy, ForkDump, NTDSDumpEx, Powerline en PuTTY voor verdere uitbuiting van het doelwit.