Ator de ameaças norte-coreano implanta EarlyRat

Os pesquisadores descobriram que o agente da ameaça conhecido como Andariel, alinhado com a Coreia do Norte, utilizou um malware anteriormente desconhecido chamado EarlyRat em ataques que exploravam a vulnerabilidade Log4j Log4Shell no ano passado.

Nesses ataques que usam o EarlyRat, o Andariel ganha controle sobre os sistemas das vítimas explorando o Log4j, que, por sua vez, baixa malware adicional do servidor de comando e controle.

Andariel, também conhecido como Silent Chollima e Stonefly, está ligado ao Lab 110 da Coréia do Norte, uma unidade de hacking primária que abriga o APT38 (também conhecido como BlueNoroff) e outros elementos subordinados chamados coletivamente de Lazarus Group.

Além de realizar espionagem contra governos estrangeiros e entidades militares de interesse estratégico, esse agente de ameaças está envolvido em crimes cibernéticos para gerar renda adicional para a nação afetada pelas sanções.

Andariel Threat Ator possui arsenal variado

Andariel possui várias armas cibernéticas, incluindo uma cepa de ransomware conhecida como Maui, bem como vários trojans de acesso remoto e backdoors como Dtrack (também conhecido como Valefor e Preft), NukeSped (também conhecido como Manuscrypt), MagicRAT e YamaBot.

O NukeSped vem equipado com recursos para criar e encerrar processos, além de manipular arquivos no host infectado. O uso do NukeSped se sobrepõe a uma campanha rastreada pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) sob o nome de TraderTraitor.

Anteriormente, a armação da vulnerabilidade Log4Shell em servidores VMware Horizon não corrigidos por Andariel foi documentada pelo AhnLab Security Emergency Response Center (ASEC) e Cisco Talos em 2022.

A cadeia de ataque mais recente, descoberta por pesquisadores, revela que o EarlyRat é distribuído por meio de e-mails de phishing contendo documentos do Microsoft Word como iscas. Ao abrir os arquivos, os destinatários são solicitados a habilitar as macros, acionando a execução do código VBA responsável pelo download do trojan.

O EarlyRat, descrito como um backdoor simples, mas limitado, foi projetado para coletar e transmitir informações do sistema para um servidor remoto e executar comandos arbitrários. Ele exibe semelhanças com o MagicRAT e é escrito usando uma estrutura chamada PureBasic. Em contraste, o MagicRAT utiliza o Qt Framework.

Outro aspecto notável da invasão é o uso de ferramentas legítimas disponíveis no mercado, como 3Proxy, ForkDump, NTDSDumpEx, Powerline e PuTTY para exploração adicional do alvo.