Вредоносное ПО NineRAT нацелено на системы, использующие тактику Lazarus Hacker Group
Cisco Talos недавно обнаружила новую киберкампанию, организованную Lazarus Group, под названием «Операция Кузнец». В этой операции используются три новых семейства вредоносных программ на основе DLang, два из которых идентифицированы как трояны удаленного доступа (RAT). Примечательно, что один из этих RAT использует ботов и каналы Telegram в качестве средств связи командования и контроля (C2), получив прозвище «NineRAT», в то время как RAT, не основанный на Telegram, помечен как «DLRAT». Кроме того, в ходе операции был обнаружен загрузчик на основе DLang, известный как BottomLoader.
Это открытие знаменует собой значительный сдвиг в тактике, используемой Lazarus Group, северокорейской группой APT (Advanced Persistent Threat). За последние 18 месяцев Cisco Talos представила три различных RAT, разработанных с использованием нетрадиционных технологий, таких как QtFramework, PowerBasic и самое последнее дополнение — DLang.
Примечательно, что наблюдались параллели между операцией «Кузнец» Лазаря и тактикой, методами и процедурами (TTP), связанными с спонсируемой государством северокорейской группировкой Onyx Sleet, также известной как группа Andariel APT. Andariel широко считается подгруппой под эгидой Lazarus, и эта кампания демонстрирует оппортунистическое нацеливание на глобальные предприятия, которые подвергают уязвимую инфраструктуру ежедневному использованию уязвимостей, включая хорошо известную CVE-2021-44228 (Log4j). Lazarus специально нацелен на такие отрасли, как производство, сельское хозяйство и физическая безопасность.
Операция Blacksmith включала использование Log4j и представила ранее неизвестную RAT на основе DLang, NineRAT, которая использовала Telegram для связи C2. Первоначально NineRAT был создан примерно в мае 2022 года и впервые был использован в кампании примерно год спустя, нацеленной на южноамериканскую сельскохозяйственную организацию в марте 2023 года и европейское производственное предприятие в сентябре 2023 года.
Анализ, проведенный Cisco Talos, выявил совпадение со злонамеренными атаками, раскрытыми Microsoft в октябре 2023 года и приписываемыми Onyx Sleet. Это согласуется с более широким пониманием того, что Lazarus APT действует как головная организация, охватывающая различные подгруппы, каждая из которых преследует разные цели, связанные с обороной, политикой, национальной безопасностью Северной Кореи, а также исследованиями и разработками.
Пользователям компьютеров, пострадавшим от вредоносного ПО NineRAT, следует принять меры по использованию инструмента защиты от вредоносных программ, чтобы не только предотвратить будущие атаки, но и полностью устранить угрозу.