朝鲜威胁行为者部署 EarlyRat

研究人员发现，与朝鲜结盟的名为 Andariel 的威胁参与者去年在利用 Log4j Log4Shell 漏洞的攻击中利用了一种名为 EarlyRat 的未知恶意软件。

在这些使用 EarlyRat 的攻击中，Andariel 通过利用 Log4j 获得对受害者系统的控制，而 Log4j 又从命令和控制服务器下载其他恶意软件。

Andariel，也被称为 Silent Chollima 和 Stonefly，与朝鲜的 Lab 110 有联系，这是一个主要的黑客单位，拥有 APT38（又名 BlueNoroff）和其他统称为 Lazarus Group 的下属单位。

除了针对具有战略利益的外国政府和军事实体进行间谍活动外，该威胁行为者还参与网络犯罪，为受制裁影响的国家创造额外收入。

安达利尔威胁演员拥有多种武器

Andariel 拥有各种网络武器，包括名为 Maui 的勒索软件，以及多个远程访问木马和后门，例如 Dtrack（又名 Valefor 和 Preft）、NukeSped（又名 Manuscrypt）、MagicRAT 和 YamaBot。

NukeSped 配备了用于创建和终止进程以及操作受感染主机上的文件的功能。 NukeSped 的使用与美国网络安全和基础设施安全局 (CISA) 追踪的名为 TraderTraitor 的活动重叠。

此前，AhnLab 安全紧急响应中心 (ASEC) 和 Cisco Talos 于 2022 年记录了 Andariel 在未修补的 VMware Horizon 服务器中将 Log4Shell 漏洞武器化的情况。

研究人员发现的最新攻击链表明，EarlyRat 通过包含 Microsoft Word 文档作为诱饵的网络钓鱼电子邮件进行分发。打开文件后，系统会提示收件人启用宏，从而触发负责下载木马的 VBA 代码的执行。

EarlyRat 被描述为一个简单但有限的后门，旨在收集系统信息并将其传输到远程服务器并执行任意命令。它与 MagicRAT 相似，都是使用名为 PureBasic 的框架编写的。相比之下，MagicRAT 使用 Qt 框架。

入侵的另一个值得注意的方面是使用合法的现成工具（例如 3Proxy、ForkDump、NTDSDumpEx、Powerline 和 PuTTY）来进一步利用目标。