NineRAT 恶意软件利用 Lazarus 黑客组织的策略瞄准系统

思科 Talos 最近发现了由 Lazarus Group 策划的一项新的网络活动，名为“铁匠行动”。此操作使用了三个基于 DLang 的新型恶意软件系列，其中两个被确定为远程访问木马 (RAT)。值得注意的是，其中一种 RAT 利用 Telegram 机器人和通道作为命令和控制 (C2) 通信的手段，赢得了“NineRAT”的绰号，而非基于 Telegram 的 RAT 则被标记为“DLRAT”。此外，在操作中还发现了一个名为“BottomLoader”的基于 DLang 的下载器。

这一发现标志着朝鲜 APT（高级持续威胁）组织 Lazarus Group 所采用策略的重大转变。在过去的 18 个月中，Cisco Talos 披露了使用 QtFramework、PowerBasic 和最新添加的 DLang 等非常规技术开发的三种不同的 RAT。

值得注意的是，拉撒路的铁匠行动与朝鲜国家支持的组织 Onyx Sleet（也被称为 Andariel APT 组织）相关的战术、技术和程序 (TTP) 之间存在相似之处。 Andariel 被广泛认为是 Lazarus 旗下的一个子组织，该活动展示了针对全球企业的机会主义目标，这些企业将脆弱的基础设施暴露在 n 天的漏洞利用中，包括众所周知的 CVE-2021-44228 (Log4j)。 Lazarus 特别针对制造业、农业和人身安全等行业。

铁匠行动涉及 Log4j 的利用，并引入了一种以前未知的基于 DLang 的 RAT NineRAT，它利用 Telegram 进行 C2 通信。 NineRAT 最初于 2022 年 5 月左右构建，大约一年后首次在该活动中使用，分别于 2023 年 3 月和 2023 年 9 月针对南美农业组织和欧洲制造实体。

Cisco Talos 的分析显示，与 Microsoft 于 2023 年 10 月披露的由 Onyx Sleet 发起的恶意攻击存在重叠。这符合更广泛的理解，即 Lazarus APT 作为一个伞式组织运作，包含多个子团体，每个子团体追求与朝鲜国防、政治、国家安全以及研发相关的不同目标。

受 NineRAT 恶意软件影响的计算机用户应采取行动使用反恶意软件工具，不仅可以防止未来的攻击，而且可以完全消除威胁。