Nordkoreansk hotskådespelare använder EarlyRat

Forskare har upptäckt att hotaktören känd som Andariel, i linje med Nordkorea, använde en tidigare okänd skadlig programvara vid namn EarlyRat i attacker som utnyttjade Log4j Log4Shell-sårbarheten förra året.

I dessa attacker som använder EarlyRat, får Andariel kontroll över offersystem genom att utnyttja Log4j, som i sin tur laddar ner ytterligare skadlig programvara från kommando-och-kontrollservern.

Andariel, även känd som Silent Chollima och Stonefly, är kopplad till Nordkoreas Lab 110, en primär hackningsenhet som inrymmer APT38 (aka BlueNoroff) och andra underordnade element som kollektivt kallas Lazarus Group.

Förutom att spionera mot utländska regeringar och militära enheter av strategiskt intresse, är denna hotaktör involverad i cyberbrottslighet för att generera ytterligare inkomster för nationen som drabbats av sanktioner.

Andariel Hotskådespelare besitter varierat Arsenal

Andariel har olika cybervapen, inklusive en ransomware-stam känd som Maui, såväl som flera fjärråtkomsttrojaner och bakdörrar som Dtrack (alias Valefor och Preft), NukeSped (aka Manuscrypt), MagicRAT och YamaBot.

NukeSped är utrustad med funktioner för att skapa och avsluta processer, samt manipulera filer på den infekterade värden. Användningen av NukeSped överlappar med en kampanj som spåras av US Cybersecurity and Infrastructure Security Agency (CISA) under namnet TraderTraitor.

Tidigare dokumenterades beväpningen av Log4Shell-sårbarheten i oparpade VMware Horizon-servrar av Andariel av AhnLab Security Emergency Response Center (ASEC) och Cisco Talos 2022.

Den senaste attackkedjan, avslöjad av forskare, avslöjar att EarlyRat distribueras genom nätfiske-e-postmeddelanden som innehåller Microsoft Word-dokument som lockbete. När filerna öppnas uppmanas mottagarna att aktivera makron, vilket utlöser exekveringen av VBA-koden som ansvarar för nedladdningen av trojanen.

EarlyRat, som beskrivs som en enkel men begränsad bakdörr, är utformad för att samla in och överföra systeminformation till en fjärrserver och exekvera godtyckliga kommandon. Den uppvisar likheter med MagicRAT och är skriven med ett ramverk som heter PureBasic. Däremot använder MagicRAT Qt Framework.

En annan anmärkningsvärd aspekt av intrånget är användningen av legitima färdiga verktyg som 3Proxy, ForkDump, NTDSDumpEx, Powerline och PuTTY för ytterligare utnyttjande av målet.