Aktor z Korei Północnej wdraża EarlyRat

Badacze odkryli, że cyberprzestępca znany jako Andariel, powiązany z Koreą Północną, wykorzystał nieznane wcześniej złośliwe oprogramowanie o nazwie EarlyRat w atakach wykorzystujących lukę Log4j Log4Shell w zeszłym roku.

W tych atakach wykorzystujących EarlyRat Andariel przejmuje kontrolę nad systemami ofiar, wykorzystując Log4j, który z kolei pobiera dodatkowe złośliwe oprogramowanie z serwera dowodzenia i kontroli.

Andariel, znana również jako Silent Chollima i Stonefly, jest powiązana z północnokoreańskim Lab 110, główną jednostką hakerską, w której mieści się APT38 (alias BlueNoroff) i inne podległe jej elementy, określane zbiorczo jako Grupa Lazarus.

Oprócz szpiegostwa przeciwko zagranicznym rządom i podmiotom wojskowym o znaczeniu strategicznym, ten cyberprzestępca jest zaangażowany w cyberprzestępczość w celu generowania dodatkowych dochodów dla kraju objętego sankcjami.

Andariel Threat Aktor posiada zróżnicowany arsenał

Andariel posiada różne rodzaje broni cybernetycznej, w tym odmianę oprogramowania ransomware znaną jako Maui, a także wiele trojanów zdalnego dostępu i backdoorów, takich jak Dtrack (alias Valefor i Preft), NukeSped (alias Manuscrypt), MagicRAT i YamaBot.

NukeSped jest wyposażony w funkcje tworzenia i kończenia procesów, a także manipulowania plikami na zainfekowanym hoście. Wykorzystanie NukeSped pokrywa się z kampanią śledzoną przez amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) pod nazwą TraderTraitor.

Wcześniej wykorzystanie luki w zabezpieczeniach Log4Shell w niezałatanych serwerach VMware Horizon przez Andariel zostało udokumentowane przez AhnLab Security Emergency Response Center (ASEC) i Cisco Talos w 2022 roku.

Najnowszy łańcuch ataków, odkryty przez badaczy, ujawnia, że EarlyRat jest dystrybuowany za pośrednictwem e-maili phishingowych zawierających dokumenty Microsoft Word jako wabiki. Po otwarciu plików odbiorcy są proszeni o włączenie makr, uruchamiając wykonanie kodu VBA odpowiedzialnego za pobranie trojana.

EarlyRat, opisywany jako prosty, ale ograniczony backdoor, ma na celu zbieranie i przesyłanie informacji systemowych do zdalnego serwera oraz wykonywanie dowolnych poleceń. Wykazuje podobieństwa do MagicRAT i jest napisany przy użyciu frameworka o nazwie PureBasic. W przeciwieństwie do MagicRAT wykorzystuje Qt Framework.

Innym godnym uwagi aspektem włamania jest użycie legalnych, gotowych narzędzi, takich jak 3Proxy, ForkDump, NTDSDumpEx, Powerline i PuTTY do dalszej eksploatacji celu.