NineRAT Malware Targets Systems maakt gebruik van tactieken van Lazarus Hacker Group

Cisco Talos heeft onlangs een nieuwe cybercampagne ontdekt, georkestreerd door de Lazarus Group, genaamd 'Operatie Blacksmith'. Bij deze operatie wordt gebruik gemaakt van drie nieuwe, op DLang gebaseerde malwarefamilies, waarvan er twee zijn geïdentificeerd als trojans voor externe toegang (RAT's). Opvallend is dat een van deze RAT's Telegram-bots en -kanalen gebruikt als een middel voor commando- en controlecommunicatie (C2), waardoor de bijnaam "NineRAT" wordt verdiend, terwijl de niet op Telegram gebaseerde RAT het label "DLRAT" krijgt. Bovendien werd tijdens de operatie een op DLang gebaseerde downloader geïdentificeerd die bekend staat als "BottomLoader".

Deze ontdekking markeert een significante verschuiving in de tactieken van de Lazarus Group, een Noord-Koreaanse APT-groep (Advanced Persistent Threat). In de afgelopen 18 maanden heeft Cisco Talos drie verschillende RAT's onthuld die zijn ontwikkeld met behulp van onconventionele technologieën zoals QtFramework, PowerBasic en de meest recente toevoeging, DLang.

Er werden met name parallellen waargenomen tussen Operatie Blacksmith van Lazarus en de tactieken, technieken en procedures (TTP's) die verband hielden met de door de Noord-Koreaanse staat gesponsorde groep Onyx Sleet, ook erkend als de Andariel APT-groep. Andariel wordt algemeen beschouwd als een subgroep onder de Lazarus-paraplu, waarbij deze campagne blijk geeft van opportunistische targeting van mondiale ondernemingen die kwetsbare infrastructuur blootstellen aan misbruik van kwetsbaarheden, waaronder de bekende CVE-2021-44228 (Log4j). Lazarus richtte zich specifiek op industrieën zoals productie, landbouw en fysieke veiligheid.

Operatie Blacksmith omvatte de exploitatie van Log4j en introduceerde een voorheen onbekende op DLang gebaseerde RAT, NineRAT, die Telegram gebruikte voor C2-communicatie. NineRAT werd aanvankelijk rond mei 2022 gebouwd en werd ongeveer een jaar later voor het eerst ingezet in de campagne, gericht op een Zuid-Amerikaanse landbouworganisatie in maart 2023 en een Europese productie-entiteit in september 2023.

Analyses van Cisco Talos brachten overlap aan het licht met kwaadaardige aanvallen die in oktober 2023 door Microsoft werden onthuld en toegeschreven aan Onyx Sleet. Dit sluit aan bij het bredere inzicht dat de Lazarus APT opereert als een overkoepelende organisatie die verschillende subgroepen omvat, die elk verschillende doelstellingen nastreven met betrekking tot de Noord-Koreaanse defensie, politiek, nationale veiligheid en onderzoek en ontwikkeling.

Computergebruikers die getroffen zijn door NineRAT Malware moeten actie ondernemen door gebruik te maken van een anti-malware tool om niet alleen toekomstige aanvallen te voorkomen, maar ook om de dreiging volledig te elimineren.