NineRAT 恶意软件利用 Lazarus 黑客组织的策略瞄准系统
思科 Talos 最近发现了由 Lazarus Group 策划的一项新的网络活动,名为“铁匠行动”。此操作使用了三个基于 DLang 的新型恶意软件系列,其中两个被确定为远程访问木马 (RAT)。值得注意的是,其中一种 RAT 利用 Telegram 机器人和通道作为命令和控制 (C2) 通信的手段,赢得了“NineRAT”的绰号,而非基于 Telegram 的 RAT 则被标记为“DLRAT”。此外,在操作中还发现了一个名为“BottomLoader”的基于 DLang 的下载器。
这一发现标志着朝鲜 APT(高级持续威胁)组织 Lazarus Group 所采用策略的重大转变。在过去的 18 个月中,Cisco Talos 披露了使用 QtFramework、PowerBasic 和最新添加的 DLang 等非常规技术开发的三种不同的 RAT。
值得注意的是,拉撒路的铁匠行动与朝鲜国家支持的组织 Onyx Sleet(也被称为 Andariel APT 组织)相关的战术、技术和程序 (TTP) 之间存在相似之处。 Andariel 被广泛认为是 Lazarus 旗下的一个子组织,该活动展示了针对全球企业的机会主义目标,这些企业将脆弱的基础设施暴露在 n 天的漏洞利用中,包括众所周知的 CVE-2021-44228 (Log4j)。 Lazarus 特别针对制造业、农业和人身安全等行业。
铁匠行动涉及 Log4j 的利用,并引入了一种以前未知的基于 DLang 的 RAT NineRAT,它利用 Telegram 进行 C2 通信。 NineRAT 最初于 2022 年 5 月左右构建,大约一年后首次在该活动中使用,分别于 2023 年 3 月和 2023 年 9 月针对南美农业组织和欧洲制造实体。
Cisco Talos 的分析显示,与 Microsoft 于 2023 年 10 月披露的由 Onyx Sleet 发起的恶意攻击存在重叠。这符合更广泛的理解,即 Lazarus APT 作为一个伞式组织运作,包含多个子团体,每个子团体追求与朝鲜国防、政治、国家安全以及研发相关的不同目标。
受 NineRAT 恶意软件影响的计算机用户应采取行动使用反恶意软件工具,不仅可以防止未来的攻击,而且可以完全消除威胁。