Северокорейский актер, занимающийся угрозами, развертывает EarlyRat

Исследователи обнаружили, что злоумышленник, известный как Andariel, связанный с Северной Кореей, использовал ранее неизвестное вредоносное ПО EarlyRat в атаках с использованием уязвимости Log4j Log4Shell в прошлом году.

В этих атаках с использованием EarlyRat Andariel получает контроль над системами жертв, используя Log4j, который, в свою очередь, загружает дополнительное вредоносное ПО с сервера управления.

Андариэль, также известная как Silent Chollima и Stonefly, связана с северокорейской Lab 110, основным хакерским подразделением, в котором находится APT38 (он же BlueNoroff) и другие подчиненные элементы, вместе именуемые Lazarus Group.

Помимо шпионажа против иностранных правительств и военных организаций, представляющих стратегический интерес, этот злоумышленник занимается киберпреступностью, чтобы получить дополнительный доход для страны, пострадавшей от санкций.

Andariel Threat Актер обладает разнообразным арсеналом

Андариэль обладает различным кибероружием, в том числе штаммом программы-вымогателя, известным как Maui, а также несколькими троянами удаленного доступа и бэкдорами, такими как Dtrack (он же Valefor и Preft), NukeSped (он же Manuscrypt), MagicRAT и YamaBot.

NukeSped оснащен функциями для создания и завершения процессов, а также для управления файлами на зараженном хосте. Использование NukeSped совпадает с кампанией, отслеживаемой Агентством кибербезопасности и безопасности инфраструктуры США (CISA) под названием TraderTraitor.

Ранее использование Andariel уязвимости Log4Shell в неисправленных серверах VMware Horizon было задокументировано Центром экстренного реагирования AhnLab Security (ASEC) и Cisco Talos в 2022 году.

Последняя цепочка атак, обнаруженная исследователями, показывает, что EarlyRat распространяется через фишинговые электронные письма, содержащие документы Microsoft Word в качестве приманки. При открытии файлов получателям предлагается включить макросы, запускающие выполнение кода VBA, ответственного за загрузку трояна.

EarlyRat, описанный как простой, но ограниченный бэкдор, предназначен для сбора и передачи системной информации на удаленный сервер и выполнения произвольных команд. Он имеет сходство с MagicRAT и написан с использованием фреймворка PureBasic. Напротив, MagicRAT использует Qt Framework.

Еще одним примечательным аспектом вторжения является использование законных готовых инструментов, таких как 3Proxy, ForkDump, NTDSDumpEx, Powerline и PuTTY, для дальнейшего использования цели.