朝鮮威脅行為者部署 EarlyRat

研究人員發現，與朝鮮結盟的名為 Andariel 的威脅參與者去年在利用 Log4j Log4Shell 漏洞的攻擊中利用了一種名為 EarlyRat 的未知惡意軟件。

在這些使用 EarlyRat 的攻擊中，Andariel 通過利用 Log4j 獲得對受害者係統的控制，而 Log4j 又從命令和控制服務器下載其他惡意軟件。

Andariel，也被稱為 Silent Chollima 和 Stonefly，與朝鮮的 Lab 110 有聯繫，這是一個主要的黑客單位，擁有 APT38（又名 BlueNoroff）和其他統稱為 Lazarus Group 的下屬單位。

除了針對具有戰略利益的外國政府和軍事實體進行間諜活動外，該威脅行為者還參與網絡犯罪，為受制裁影響的國家創造額外收入。

安達利爾威脅演員擁有多種武器

Andariel 擁有各種網絡武器，包括名為 Maui 的勒索軟件，以及多個遠程訪問木馬和後門，例如 Dtrack（又名 Valefor 和 Preft）、NukeSped（又名 Manuscrypt）、MagicRAT 和 YamaBot。

NukeSped 配備了用於創建和終止進程以及操作受感染主機上的文件的功能。 NukeSped 的使用與美國網絡安全和基礎設施安全局 (CISA) 追踪的名為 TraderTraitor 的活動重疊。

此前，AhnLab 安全緊急響應中心 (ASEC) 和 Cisco Talos 於 2022 年記錄了 Andariel 在未修補的 VMware Horizon 服務器中將 Log4Shell 漏洞武器化的情況。

研究人員發現的最新攻擊鍊錶明，EarlyRat 通過包含 Microsoft Word 文檔作為誘餌的網絡釣魚電子郵件進行分發。打開文件後，系統會提示收件人啟用宏，從而觸發負責下載木馬的 VBA 代碼的執行。

EarlyRat 被描述為一個簡單但有限的後門，旨在收集系統信息並將其傳輸到遠程服務器並執行任意命令。它與 MagicRAT 相似，都是使用名為 PureBasic 的框架編寫的。相比之下，MagicRAT 使用 Qt 框架。

入侵的另一個值得注意的方面是使用合法的現成工具（例如 3Proxy、ForkDump、NTDSDumpEx、Powerline 和 PuTTY）來進一步利用目標。