NineRAT atakuje złośliwe oprogramowanie, stosując taktykę Lazarus Hacker Group

Firma Cisco Talos odkryła niedawno nową kampanię cybernetyczną zaaranżowaną przez Grupę Lazarus o nazwie „Operacja Kowal”. W operacji tej wykorzystywane są trzy nowe rodziny szkodliwego oprogramowania oparte na DLang, z których dwie zostały zidentyfikowane jako trojany dostępu zdalnego (RAT). Warto zauważyć, że jeden z tych RAT wykorzystuje boty i kanały Telegramu jako środki komunikacji dowodzenia i kontroli (C2), dzięki czemu zyskał przydomek „NineRAT”, podczas gdy RAT nieoparty na Telegramie jest oznaczony jako „DLRAT”. Ponadto podczas operacji zidentyfikowano program pobierający oparty na DLang, znany jako „BottomLoader”.

Odkrycie to oznacza znaczącą zmianę w taktyce stosowanej przez Lazarus Group, północnokoreańską grupę APT (Advanced Persistent Threat). W ciągu ostatnich 18 miesięcy firma Cisco Talos ujawniła trzy różne RAT opracowane przy użyciu niekonwencjonalnych technologii, takich jak QtFramework, PowerBasic i najnowszy dodatek DLang.

Warto zauważyć, że zaobserwowano podobieństwa między operacją Blacksmith Lazarusa a taktyką, technikami i procedurami (TTP) związanymi ze sponsorowaną przez państwo północnokoreańską grupą Onyx Sleet, uznawaną również za grupę Andariel APT. Andariel jest powszechnie uważana za podgrupę w ramach Lazarus, a ta kampania demonstruje oportunistyczne atakowanie globalnych przedsiębiorstw, które narażają wrażliwą infrastrukturę na wykorzystanie luk w zabezpieczeniach w ciągu kilku dni, w tym dobrze znaną lukę CVE-2021-44228 (Log4j). Łazarz celował szczególnie w branże takie jak produkcja, rolnictwo i bezpieczeństwo fizyczne.

Operacja Blacksmith obejmowała wykorzystanie Log4j i wprowadziła nieznany wcześniej RAT oparty na DLang, NineRAT, który wykorzystywał Telegram do komunikacji C2. Projekt NineRAT został pierwotnie zbudowany około maja 2022 r., a po raz pierwszy został wykorzystany w kampanii około rok później, skierowanej do południowoamerykańskiej organizacji rolniczej w marcu 2023 r. i europejskiego podmiotu produkcyjnego we wrześniu 2023 r.

Analizy przeprowadzone przez Cisco Talos wykazały pokrywanie się ze szkodliwymi atakami ujawnionymi przez firmę Microsoft w październiku 2023 r., przypisywanymi Onyx Sleet. Jest to zgodne z szerszym rozumieniem, że Lazarus APT działa jako organizacja parasolowa obejmująca różne podgrupy, z których każda realizuje inne cele związane z obronnością Korei Północnej, polityką, bezpieczeństwem narodowym oraz badaniami i rozwojem.

Użytkownicy komputerów dotknięci złośliwym oprogramowaniem NineRAT powinni podjąć działania, korzystając z narzędzia chroniącego przed złośliwym oprogramowaniem, aby nie tylko zapobiec przyszłym atakom, ale także całkowicie wyeliminować zagrożenie.